Opnieuw Salesforce-data gelekt via third-party applicatie

In dit artikel:

In augustus maakten cyberaanvallen op Salesforce-instanties duidelijk hoe kwetsbaar CRM-omgevingen zijn via externe tools: toen werd een Salesloft-integratie misbruikt om klantdata te stelen. Nu rijst opnieuw een vergelijkbaar probleem, ditmaal via Gainsight. Salesforce signaleerde ongewone activiteit die verband houdt met Gainsight-connectors en schakelde uit voorzorg de verbindingen uit. Gainsight leek aanvankelijk niet meteen op de hoogte, waarna de tool tijdelijk verdween uit onder meer de HubSpot- en Zendesk-marketplaces. Voor forensisch onderzoek is Google’s Mandiant ingeschakeld; beide partijen onderzoeken nog de omvang en oorzaak.

Volgens Google Threat Intelligence heeft Gainsight ruim duizend klanten en zouden meer dan 200 Salesforce-instanties mogelijk geraakt zijn. Ter vergelijking: de Salesloft-incidenten in augustus troffen circa 700 slachtoffers, waaronder Cloudflare, PagerDuty, Palo Alto Networks en Zscaler. Dit lek betreft een andere kwetsbaarheid dan de eerder dit jaar gemelde datadiefstal die merken als Adidas en Chanel trof. Gainsight stelt dat het geen fout in het Salesforce-platform betreft.

Gainsight is een ‘customer success’-platform dat vanuit een CRM zoals Salesforce klantsegmentatie, scoringssystemen, waarschuwingen en geautomatiseerde workflows verzorgt — met brede toegang tot klantgegevens zodra de connector actief is. De gebeurtenissen benadrukken opnieuw dat third-party-integraties een belangrijk aanvalsvlak vormen voor aanvallers en dat organisaties hun connectoren en toegangsrechten kritisch moeten beheren.