Salesforce ve Gainsight Uygulamaları: Veri Güvenliği Tehdidi
Son günlerde, Salesforce, Gainsight tarafından yayımlanan uygulamalarla bağlantılı olarak “olağandışı faaliyetler” tespit ettiklerini duyurmuş durumda. Bu durum, müşterilerin Salesforce verilerine yetkisiz erişim sağlama olasılığını gündeme getiriyor.
Güvenlik İhlali İle İlgili Alınan Önlemler
Salesforce, yaptığı açıklamada, Gainsight ile bağlantılı uygulamalara ait tüm aktif erişim ve yenileme belirteçlerini (token) iptal ettiğini bildirdi. Bunun yanı sıra, bu uygulamaları AppExchange’den geçici olarak kaldırdı. Ancak, olaydan etkilenen müşteri sayısı hakkında herhangi bir bilgi verilmemiştir.
Salesforce, yaşanan sorunun kendi platformlarındaki bir güvenlik açığından kaynaklanmadığını, dahası problemin Gainsight uygulamalarının Salesforce ile olan dış bağlantısından kaynaklandığını ifade etti.
Gainsight Uygulamasındaki Temasların İncelenmesi
Buna ek olarak, Gainsight uygulaması, HubSpot Marketplace’ten geçici olarak kaldırıldı. Şirket, bu süreçte müşteri bağlantılarının Oauth erişimlerinin etkilenebileceğini belirtti. HubSpot ile ilgili herhangi bir şüpheli faaliyet tespit edilmediği vurgulandı.
Austin Larsen, Google Threat Intelligence Group’un baş tehdit analisti, bu durumu Gainsight ile bağlantılı uygulamaları hedef alan bir “yükselen kampanya” olarak tanımladı. Olayların, ShinyHunters (UNC6240) grubuyla bağlantılı tehdit aktörlerinin eylemleriyle ilişkilendirildiği düşünülüyor.
ShinyHunters’ın Hedefleri ve Önceki Saldırılar
ShinyHunters, bu kampanyanın kendi eylemlerinin bir parçası olduğunu doğruladı ve Salesloft ile Gainsight saldırılarının 1000’den fazla organizasyondan veri çalmalarına olanak tanıdığını belirtti. İlginç bir detay, Gainsight’ın daha önce, Salesloft saldırısından etkilenen bir müşteri olarak listelendiği ama bu durumun şu anki olayla bir bağlantısının olup olmadığının belirsizliğini koruduğudur.
Tehditleri Önlemek İçin Alınacak Önlemler
Bu tür saldırılarda, saldırganların özellikle güvenilir üçüncü taraf SaaS entegrasyonlarının Oauth jetonlarını hedef aldıkları ortaya konulmuştur. Olayların artış göstermesi nedeniyle, organizasyonların Salesforce ile bağlantılı tüm üçüncü taraf uygulamaları gözden geçirmeleri, kullanılmayan veya şüpheli uygulamaların jetonlarını iptal etmeleri ve anormallikler söz konusu olduğunda kimlik bilgilerini yenilemeleri önerilmektedir.
Veri güvenliğini sağlamak için şirketlerin bu tür olayları ciddiye alarak gerekli önlemleri alması hayati önem taşımaktadır. Saldırılara karşı dikkatli olmak ve gerekli adımları atmak, veri ihlali riskini azaltmada en etkili yöntem olacaktır.
