Une campagne malveillante a récemment compromis des données clients Salesforce via des applications publiées par Gainsight. L’alerte a été donnée par Salesforce suite à la détection d’une activité OAuth suspecte touchant son écosystème. Cet incident, dont l’origine serait liée à un groupe de cybercriminels notoire, met en lumière les risques croissants associés aux intégrations SaaS tierces dans les environnements cloud. Si vous êtes une entreprise utilisant Salesforce ou d’autres services connectés par OAuth, voici ce que vous devez savoir.
Suspicion d’accès non autorisé via des applications liées à Gainsight
Révocation des accès et retrait temporaire des applications
Salesforce a révélé avoir détecté une activité inhabituelle sur certaines applications publiées par Gainsight. Ces connexions OAuth auraient permis un accès non autorisé à certaines données clients. Par précaution, toutes les tokens d’authentification OAuth actives liées à ces applications ont été révoquées par la plateforme.
Les applications en question ont également été temporairement retirées de l’AppExchange, le temps de finaliser l’enquête. Bien que le nombre de clients touchés n’ait pas été précisé, Salesforce a assuré avoir informé les parties concernées. L’entreprise a affirmé que le problème ne vient pas d’une vulnérabilité de sa propre plateforme, mais bien d’une exploitation au travers de connexions externes tierces.
Impact sur d’autres services cloud comme HubSpot
Du côté de Gainsight, un retrait temporaire de l’application sur le HubSpot Marketplace a également été annoncé. Selon l’éditeur, aucun comportement suspect n’a été détecté sur HubSpot, mais l’accès OAuth aux comptes clients pourrait être temporairement perturbé pendant les analyses en cours.
Une attaque attribuée au groupe ShinyHunters
Campagne ciblant les intégrations SaaS
Le groupe de cybercriminels ShinyHunters, également connu sous le nom UNC6240, serait derrière cette campagne ciblant les applications SaaS connectées à Salesforce. L’analyste en cybersécurité Austin Larsen (Google GTIG) a qualifié l’activité d’attaque émergente cherchant à voler des jetons OAuth.
D’après DataBreaches.Net, les ShinyHunters ont revendiqué ces attaques contre Gainsight et Salesloft. Ils auraient ainsi obtenu des données sensibles appartenant à près de 1000 organisations. Il s’agirait, selon leurs dires, de la continuité d’une attaque précédente ciblant déjà Salesloft, où Gainsight figurait parmi les victimes initiales.
Nature des données compromises
Lors de la première vague d’attaque, les auteurs ont accédé à des données de contact professionnelles liées à des utilisateurs Salesforce. Cela inclut noms, adresses email professionnelles, numéros de téléphone, localisation régionale, informations de licence de produit et détails liés au support client.
Recommandations de cybersécurité pour les entreprises
Audit des connexions OAuth
Dans ce contexte, il est vivement conseillé aux entreprises utilisant Salesforce de réaliser un audit complet de leurs applications tierces connectées. Il est nécessaire de révoquer les jetons inutilisés ou suspects et de modifier les identifiants si une activité anormale est détectée.
Les attaques récentes rappellent l’importance de comprendre le fonctionnement des intégrations OAuth. Pour les professionnels souhaitant approfondir leurs connaissances techniques sur les vecteurs d’attaque modernes et les failles des SaaS, notre livre pour hacker constitue une excellente ressource. Son contenu permet de comprendre comment les attaquants exploitent les failles d’authentification et de mieux apprendre à hacker pour renforcer sa cybersécurité.
Menace croissante sur le marché du cloud
Les jetons OAuth deviennent une cible privilégiée pour les cybercriminels, car ils permettent un accès prolongé sans nécessiter de mots de passe. Leur compromission donne ainsi une porte d’entrée directe aux données cloud d’une entreprise, rendant la sécurité des intégrations API une priorité stratégique.
CyberCare accompagne ses clients dans l’audit, la sécurisation et la surveillance de leurs connexions SaaS, afin de prévenir les compromissions similaires à celles survenues chez Salesforce et Gainsight.
