Bulut tabanlı CRM çözümleri sunan Salesforce, geçen hafta Çarşamba günü Gainsight adlı üçüncü taraf bir uygulamayla ilgili "alışılmadık bir etkinlik" keşfettikten sonra müşterilerini olası bir veri ihlali konusunda uyardı.

Salesforce’un kendi sitesinden yapmış olduğu açıklamada Gainsight tarafından yayınlanan ve Salesforce'a bağlı olup müşteriler tarafından yüklenip yönetilen uygulamalarla ilgili olağandışı bir etkinlik tespit ettiğini, bu etkinliğin uygulamanın bağlantısı aracılığıyla belirli müşterilerin Salesforce verilerine yetkisiz erişime olanak sağlamış olabileceğine gösteriyor diye belirtti.

Salesforce, olağandışı etkinlik tespit edildikten sonra "Gainsight tarafından yayınlanan ve Salesforce'a bağlı uygulamalarla ilişkili tüm etkin erişim ve yenileme belirteçlerini iptal ettiğini ve soruşturma devam ederken bu uygulamaları AppExchange'den geçici olarak kaldırdığını" söyledi.

Gainsight, müşterilerin satış verilerini ve müşteri bilgilerini takip etmelerine yardımcı olmak için oluşturulmuş bir platformdur. Şirketin web sitesi incelendiği zaman aralarında Cisco, Airtable, Notion, GitLab ve diğerleri de dahil olmak üzere çeşitli kurumsal müşterilere ait logoların yayınlandığı gözüküyor. Salesforce tarafından yapılan açıklama ile birlikte Gainsight tarafından yapılan açıklamada olası bir veri ihlaline atıf yapılmazken, sadece "Salesforce bağlantı sorunu" araştırdığını kendi web sitesinden duyurdu.

Gainsight tarafından paylaşılan güncelleme listesine göre 19 Kasım’da Salesforce tarafından şüpheli erişim girişimleri gösteren 3 şirket bildiriliyor. Yine aynı gün içerisinde bağımsız bir adli soruşturmayı desteklemek için Google Mandiant' görevlendiriliyor. 21 Kasım itibariyle daha geniş bir şirket listesi Gainsight ile paylaşılıyor.

Şirket, Salesforce tarafından şüpheli etkinlik gözlemlediği belirlenen kuruluşlara doğrudan bildirimleri 21 Kasım itibariyle göndermeye başlıyor. Gainsight tarafından 23 Kasım’da yayınlanan son güncellemede, gerçekleşen sibe olayla ilgili güvenlik ihlali göstergeleri (IoC) paylaşıldı.

Veri ihlalinin arkasındaki tehdit aktörü ShinyHunters!

Gerçekleşen veri ihlalinin arkasında “scattered LAPSUS$ hunters” olarakta bilinen ShinyHunters grubu yer alıyor. Grup tarafından DataBreaches.net'e yapılan  açıklamada , ihlalin arkasında kendilerinin olduğunu ve Salesforce'un kendileriyle pazarlık yapmaması halinde çalınan verileri duyurmak için yeni bir web sitesi oluşturacaklarını söyledi.

Tehdit aktörleri, Bir sonraki veri sızıntısı sitesinin Salesloft ve GainSight kampanyalarının verilerini içereceğini ve bunun da toplamda yaklaşık 1000 kuruluşa denk geldiğini belirttiler.