Thought Leadership
Nach einem Sicherheitsvorfall bei Gainsight wurden offenbar Kundendaten über verknüpfte Salesforce-Verbindungen abgegriffen. Das CRM-Unternehmen betont, die eigene Plattform weise keine Schwachstellen auf.
Salesforce hat am Mittwoch mitgeteilt, einen Sicherheitsvorfall zu untersuchen, bei dem Daten bestimmter Kunden kompromittiert wurden. Der Zugriff erfolgte über Anwendungen des Customer-Success-Anbieters Gainsight, die mit Salesforce-Instanzen verbunden sind.
Salesforce hat ungewöhnliche Aktivitäten im Zusammenhang mit von Gainsight veröffentlichten Anwendungen festgestellt, die mit Salesforce verbunden sind und direkt von Kunden installiert und verwaltet werden. Unsere Untersuchungen deuten darauf hin, dass diese Aktivitäten möglicherweise einen unbefugten Zugriff auf die Salesforce-Daten bestimmter Kunden über die Verbindung der Anwendung ermöglicht haben.
Nach Feststellung dieser Aktivitäten hat Salesforce alle aktiven Zugriffs- und Aktualisierungstoken für von Gainsight veröffentlichte Anwendungen, die mit Salesforce verbunden sind, gesperrt und diese Anwendungen vorübergehend aus dem AppExchange entfernt, während unsere Untersuchungen weiterlaufen.
Es gibt keine Anzeichen dafür, dass dieses Problem auf eine Schwachstelle in der Salesforce-Plattform zurückzuführen ist. Die Aktivität scheint mit der externen Verbindung der App zu Salesforce zusammenzuhängen.
Wir haben die bekannten betroffenen Kunden direkt benachrichtigt und werden weiterhin gegebenenfalls aktuelle Informationen bereitstellen. Kunden, die Hilfe benötigen, können sich über den Salesforce-Support an uns wenden: https://help.salesforce.com/s.
Externe Verbindung als Einfallstor
Nach Angaben von Salesforce sind von Gainsight bereitgestellte Applikationen betroffen, die Kunden eigenständig installieren und verwalten. Das Unternehmen stellte klar, dass keine Hinweise auf Schwachstellen in der Salesforce-Plattform selbst vorlägen. Die Aktivitäten stünden vielmehr im Zusammenhang mit der externen Anbindung von Gainsight an Salesforce.
Gainsight selbst kommunizierte auf seiner Statusseite lediglich, man untersuche ein Verbindungsproblem mit Salesforce. Von einem möglichen Datenleck war dort nicht die Rede. Eine Stellungnahme auf Medienanfragen blieb zunächst aus.
Auf der Website von Gainsight werden mehrere bekannte Unternehmen als Kunden genannt, darunter Airtable, Notion und GitLab. GitLab bestätigte gegenüber TechCrunch, dass das Sicherheitsteam den Vorfall prüfe.
Hackergruppe meldet sich zu Wort
Gegenüber der Cybersecurity-Publikation DataBreaches.net hat sich die Hackergruppe ShinyHunters zu dem Angriff bekannt. Die Gruppe kündigte an, bei ausbleibenden Verhandlungen eine Website zur Bewerbung der erbeuteten Daten einzurichten. Nach eigenen Angaben sollen Daten von nahezu tausend Unternehmen betroffen sein.
Ähnliches Angriffsmuster wie bei Salesloft
Das Vorgehen erinnert an einen Vorfall im August, bei dem über den Anbieter Salesloft Zugriff auf verbundene Salesforce-Systeme erlangt wurde. Damals waren Unternehmen wie Allianz Life, Cloudflare, Google und Qantas betroffen. Die Gruppe Scattered Lapsus$ Hunters, zu der ShinyHunters gehört, hatte sich zu den Angriffen bekannt und im vergangenen Monat eine Erpresser-Website mit Drohung zur Veröffentlichung von Milliarden Datensätzen eingerichtet.
Gainsight war bereits bei den Salesloft-Vorfällen unter den betroffenen Unternehmen. Ob die aktuelle Kompromittierung auf den früheren Angriff zurückgeht, ist unklar.
