Le gang de cybercriminels ShinyHunters revendique l’attaque de Gainsight, une plateforme SaaS de gestion de la réussite client qui s’intègre à Salesforce et à d’autres plateformes de CRM, dont HubSpot, ainsi qu’à des outils d’assistance tels que Zendesk.

Gainsight confirme l’attaque et déclare avoir fait appel à Mandiant, filiale de cybersécurité de Google, pour mener l’enquête. L’éditeur CRM précise que « l’activité faisant l’objet de l’enquête provient de la connexion externe des applications et non d’un problème ou d’une vulnérabilité au sein de la plateforme Salesforce ».

Pour sa part, Salesforce déclare avoir « révoqué tous les jetons d’accès et d’actualisation actifs associés aux applications publiées par Gainsight connectées à Salesforce et temporairement supprimé ces applications de l’AppExchange tandis que l’enquête suit son cours ». Zendesk affirme avoir également révoqué l’accès de son connecteur à Gainsight, « par mesure de précaution ». L’application Gainsight a aussi été « temporairement retirée du HubSpot Marketplace ».

Austin Larsen, analyste au sein du Google Threat Intelligence Group, confie au Register que « plus de 200 instances Salesforce sont potentiellement affectées ».

Il ne s’agit pas de la première attaque de ShinyHunters et de ses affidés visant des jetons OAuth d’intégrations SaaS tierces de confiance avec Salesforce. Les cyberattaquants de ShinyHunters ont déjà volé des jetons d’authentification OAuth permettant d’intégrer l’application Drift dans la base de données de Salesforce. Salesloft Drift est un agent IA tierce utilisé pour automatiser les processus de vente. Le chatbot s’intègre aux bases de données Salesforce via des API d’applications connectées afin de gérer les prospects à la place d’humains. La compromission de ces jetons de sécurité OAuth Drift en août dernier a permis à ShinyHunters de dérober discrètement une grande quantité de données à plus de 700 clients de Salesforce. ShinyHunters aurait obtenu des jetons d’authentification Gainsight parmi les données volées lors de l’attaque contre Salesloft Drift.

D’après les informations de databreaches.net, ShinyHunters revendique avoir touché près de 1.000 organisations au total via ces deux cyberattaques contre Salesloft et GainSight. Au cours de la plus récente, contre GainSight, le cybergang dit avoir compromis des données de Verizon, Gitlab, F5 et Sonicwall, entre autres.

Nos lecteurs ont lu ensuite


Faille OAuth de l’agent d’IA Drift : des répercussions en masse chez Salesforce et des centaines d’autres clients 
Le géant du CRM Salesforce confirme avoir été la cible d’une violation de données qui a eu des répercussions chez de nombreux clients, dont Google, Allianz, Cisco, Cloudflare, Palo Alto Networks ou encore Zcaler. La...

Zendesk se vend pour 10 milliards de dollars
Le spécialiste des solutions de support client ZenDesk a accepté l’offre de rachat pour 10,2 milliards de dollars des fonds Hellman & Friedman et Permira. L’offre à 77,5 dollars par action représente une prime d’environ...

Sécurité avec API : OAuth, Token-based access ou Key-based access
Parlons de sécurité avec les API, ou comment identifier de manière sûre « le caller » dans Azure. Il existe en fait deux méthodes principales d’authentification assez populaires dans le cloud pour sécuriser les API...

Démonstration de Salesforce à Paris
Les quelque 10 000 décideurs IT inscrits à cette édition 2015 de la conférence Salesforce World Tour Paris démontrent la vitalité de cet éditeur de logiciel tout entièrement orienté sur la problématique client....

Zendesk annonce un nouveau programme partenaires
Zendesk annonce un nouveau programme de partenariat afin de fournir aux partenaires « les compétences, les outils et l’assistance nécessaires » pour améliorer l’engagement des clients. Il récompense les partenaires en fonction de leurs compétences...