گروه بدنام سایبری ShinyHunters ادعا کرده است که از سه ماه پیش به پلتفرم موفقیت مشتری Gainsight دسترسی داشته و از این طریق دادههای صدها مشتری Salesforce را به سرقت برده است. این ادعا، لایهای جدید از پیچیدگی را به ماجرای نقض امنیتی اخیر اضافه میکند که از طریق توکنهای OAuth به سرقت رفته از ادغام Salesloft Drift با Salesforce آغاز شد. این گروه هکری، که پیشتر مسئولیت حملات مشابهی را برعهده گرفته بود، اکنون با اظهارات صریح خود علیه Salesforce، توجهات را به سمت ماهیت این حمله هدفمند جلب کرده است.
اعتراف جنجالی ShinyHunters به نفوذ در Gainsight و اکوسیستم Salesforce
ShinyHunters، یکی از فعالترین گروههای اخاذی سایبری، در پیامی اختصاصی به نشریه "The Register" مسئولیت حمله اخیر به Gainsight را بر عهده گرفت. اعضای این گروه فاش کردند که دسترسی به Gainsight را در جریان هک Salesloft Drift در اوایل سال جاری به دست آوردهاند و این دسترسی برای "تقریباً سه ماه" حفظ شده است. آنها تاکید کردند: "دادههای به دست آمده از نقض Salesloft Drift، نقاط ورودی به سیستمهای بسیار سودآور را فراهم کرده است." در اظهار نظری جنجالی، یکی از اعضای ShinyHunters افزود: "من به هیچ وجه Salesforce را دوست ندارم؛ اگر آنها دست از خودنمایی بردارند و هزینه لازم را برای رفع این مشکل بپردازند، خوب خواهد بود." این اظهارات، نشاندهنده انگیزههای مالی و احتمالا خصومت شخصی علیه Salesforce است.
حمله به Salesforce: از گیتهاب Salesloft تا سرقت توکنهای OAuth
این زنجیره حمله پیچیده در ماه مارس آغاز شد، زمانی که مهاجمان به حساب GitHub شرکت Salesloft دسترسی پیدا کردند. از آنجا، آنها توکنهای OAuth را از ادغام Drift، یک برنامه شخص ثالث Salesloft برای اتوماسیون فرآیندهای فروش، با Salesforce به سرقت بردند. توکنهای OAuth، کلیدهای دیجیتالی هستند که به برنامهها اجازه میدهند بدون نیاز به رمز عبور مستقیم، به دادههای کاربر در سرویسهای دیگر (مانند Salesforce) دسترسی داشته باشند. دسترسی به این توکنهای امنیتی، به ShinyHunters امکان داد تا به طور پنهانی حجم وسیعی از دادههای مشتریان Salesforce را به سرقت ببرند. Gainsight، به عنوان یک پلتفرم موفقیت مشتری که با Salesforce و سایر CRMها مانند HubSpot و ابزارهای پشتیبانی چون Zendesk یکپارچه میشود، ظاهراً هدف بعدی بود که از طریق همین بردارهای اولیه نفوذ، مورد سوءاستفاده قرار گرفت.
واکنش Salesforce و سایر پلتفرمها به تبعات امنیتی این حمله
در پی این افشاگریها، Gainsight اعلام کرد که شرکت Google Mandiant را برای کمک به تحقیقات جاری استخدام کرده است. این شرکت تاکید کرد که "فعالیت مورد بررسی از اتصال خارجی برنامهها نشات گرفته و نه از هیچ مشکل یا آسیبپذیری در پلتفرم Salesforce." Salesforce نیز در اقدامی پیشگیرانه، "تمام توکنهای دسترسی و رفرش فعال مرتبط با برنامههای منتشر شده Gainsight که به Salesforce متصل بودند را لغو کرده و به طور موقت این برنامهها را از AppExchange حذف کرده است." Zendesk و HubSpot نیز به ترتیب دسترسی اتصالدهنده خود به Gainsight را لغو یا برنامه آن را از بازارگاه خود حذف کردند تا اقدامات احتیاطی لازم را انجام دهند. با این حال، Salesforce قاطعانه اعلام کرده است که "با هیچ باجگیری درگیر، مذاکره یا مبلغی پرداخت نخواهد کرد." این موضع قاطع، نشاندهنده اهمیت حفظ استانداردهای امنیتی و عدم تشویق فعالیتهای مجرمانه است.
ابعاد گستردهتر یک حمله هدفمند: تهدید مداوم برای امنیت Salesforce
گروه اطلاعات تهدید گوگل پیشتر اعلام کرده بود که این نقض امنیتی "احتمالاً به UNC6240 (معروف به ShinyHunters) مرتبط است" و "بیش از ۲۰۰ نمونه Salesforce به طور بالقوه تحت تأثیر قرار گرفتهاند." ادعای ShinyHunters مبنی بر اینکه "Gainsight تنها یک آزمایش برای سنجش میزان نظارت موجود بود"، عمق برنامهریزی و جسارت این گروه را آشکار میکند. این حادثه بار دیگر بر آسیبپذیریهای ناشی از حملات زنجیره تامین و اهمیت امنیت قوی در اکوسیستمهای ابری تاکید میکند. شرکتها باید:
نظارت مستمر: سیستمهای تشخیص نفوذ و تیمهای امنیتی خود را برای شناسایی سریع فعالیتهای غیرمجاز تقویت کنند.
امنیت برنامههای شخص ثالث: ارزیابی دقیق امنیتی برنامههای شخص ثالث و اتصالات آنها به سیستمهای حیاتی را در اولویت قرار دهند.
این اتفاق، زنگ خطری برای تمامی سازمانهایی است که به پلتفرمهای ابری و ادغامهای شخص ثالث متکی هستند تا استراتژیهای امنیتی خود را بازنگری کنند.
مطالب مرتبط
- پیمانکار اخراجی IT به خرابکاری سایبری گسترده علیه کارفرمای سابق خود اعتراف کرد
- نقص امنیتی جدی در واتساپ، شماره تلفن میلیونها کاربر را لو داد
- پیمانکار اخراجی IT به خرابکاری سایبری گسترده علیه کارفرمای سابق خود اعتراف کرد
