Jak mohl útok skrze Gainsight zasáhnout Salesforce?

Útok využil kompromitované autentizační tokeny a integrační přístupy. Útočníci získali tokeny od dříve kompromitovaných zákazníků třetích stran (např. Salesloft nebo Drift), následně je zneužili k přístupu do Gainsight a přes něj k instancím Salesforce. Token-based authentication (OAuth nebo API klíče) umožňuje integracím přístup k datům bez hesla, a pokud tyto tokeny nejsou rotovány nebo jsou sdíleny mezi systémy, mohou sloužit k laterálnímu pohybu útočníků v rámci dodavatelského řetězce.

Jaké kroky by měly firmy okamžitě provést po zjištění kompromitace integrace?

Doporučené kroky zahrnují: okamžité odpojení nebo deaktivaci kompromitovaných integračních tokenů, rotaci a zrušení vystavených klíčů, spuštění forenzní analýzy logů a přístupových záznamů, notifikaci dotčených zákazníků a regulačních orgánů tam, kde je to vyžadováno, a přijetí opatření pro prevenci opakování (least privilege, segmentace přístupu, pravidelné audity třetích stran). Spolupráce s specialisty na incident response (např. Mandiant) zrychlí identifikaci kořenové příčiny a rozsahu exfiltrace dat.

Jaké technické indikátory kompromitace (IoC) by měli bezpečnostní týmy sledovat?

Bezpečnostní týmy by měly sledovat neobvyklé API volání, vysoké objemy stahovaných dat, přístupy z neobvyklých IP adres nebo geografických lokalit, opakované použití stejných integračních tokenů napříč systémy, neočekávané změny v nastavení webhooků a upozornění na neautorizované vytvoření nebo změnu service accountů. Integrace do SIEM a EDR, analýza provozu a korelace logů mohou pomoci rychle odhalit tyto indikátory.

Jak minimalizovat riziko podobných supply-chain útoků v budoucnu?

Minimalizace rizika zahrnuje zavedení zásad pro hodnocení rizik dodavatelů, omezení oprávnění integračních aplikací, pravidelnou rotaci a centralizovanou správu tokenů a tajemství (secret management), využití zero-trust principů, segmentaci sítě a dat, a pravidelné bezpečnostní audity třetích stran. Dále je důležité vypracovat incident response plán, provádět tabletop cvičení a zajistit monitoring chování API a anomálií přístupu.

Řetězcový útok přes Gainsight odcizil data Salesforce

4 Minuty

Google potvrdil to, čeho se odborníci na kybernetickou bezpečnost obávali: řetězcový útok, který začal přes aplikace Gainsight, vedl k rozsáhlé krádeži dat ze Salesforce a potenciálně zasáhl více než 200 globálních firem. Postupně přicházejí nové detaily o tom, jak útočníci postoupili z aplikace třetí strany do interních záznamů podniků a jaká technická slabina v dodavatelském řetězci integrací mohla umožnit exfiltraci dat.

Jak útok probíhal

Podle veřejných zpráv a oficiálních prohlášení dotčených poskytovatelů služeb začal průnik přes Gainsight — široce používaný nástroj pro řízení zákaznického úspěchu a integrace — který útočníkům umožnil získat přístup k datům uloženým v instancích Salesforce. Útočníci podle dostupných informací zneužili autentizační tokeny získané při dřívějších průnicích u zákazníků třetích stran. Tyto tokeny fungovaly jako klíče umožňující se vydávat za legitimní integrační body (integrations) a stahovat data z připojených organizací Salesforce bez nutnosti poznat interní přihlašovací údaje uživatelů.

Technické podrobnosti naznačují, že šlo o zneužití token-based authentication (OAuth tokeny, refresh tokeny nebo API klíče v rámci integračních služeb) a o opakované použití ukradených tokenů napříč různými SaaS systémy a konektory. Takový postup je příkladem rizika „supply-chain“ nebo „third-party“ útoku, kdy kompromitace jednoho dodavatele nebo jednoho integračního bodu může mít kaskádový efekt — útočník se přes jeden kompromitovaný token dostane do dalšího systému, najde další tokeny nebo privilegovaná připojení a postupně rozšiřuje dosah exfiltrace dat.

Média jako TechCrunch a další uvádějí, že za útokem stojí skupina, která si říká Scattered Lapsus$ Hunters a která zahrnuje členy z komunit jako ShinyHunters a dalších týmů. V rozhovorech pro média ShinyHunters uvedli, že využili přístupy získané při dřívějším kompromitování zákazníků Salesloft a ukradené tokeny z platformy Drift, aby se dostali přes Gainsight až do instancí Salesforce. Tyto tvrzení odpovídají scénáři nadřazeného řetězce přístupů, kde kompromitace menší služby poslouží jako výchozí bod k napadení většího podnikového systému.

Kdo je jmenován — a kdo to popírá

Skupina Scattered Lapsus$ Hunters jmenovala mezi oběťmi několik významných společností, včetně Atlassian, CrowdStrike, DocuSign a LinkedIn. Některé firmy okamžitě odmítly, že by z jejich systémů došlo k exfiltraci citlivých dat: CrowdStrike a DocuSign prohlásily, že nenašly důkazy o vytažení dat z jejich prostředí. CrowdStrike navíc uvedl, že propustil zaměstnance, o kterém se domnívá, že mohl spolupracovat s útočníky nebo jinak pomáhat při kompromitaci interních přístupů.

Další organizace, jako Verizon, Malwarebytes nebo Thomson Reuters, oznámily, že zjišťují nároky útočníků, avšak zatím neposkytly definitivní závěry. Tyto rozdílné reakce podtrhují nejistotu, která často následuje po rozsáhlých incidentů zasahujících dodavatelský řetězec, kdy veřejné obvinění může předběhnout důkladnou forenzní analýzu. Forenzní týmy typicky provádějí analýzu logů, kontrolu integrity tokenů, vyhodnocení IAM (identity and access management) a sledování provozu API, než mohou potvrdit, které datové toky byly skutečně zasaženy.

Gainsight nyní spolupracuje s incident response týmem Mandiant, aby dohledal kořenový příčina kompromitace a mapoval následnou exfiltraci dat. Salesforce jako preventivní opatření dočasně deaktivoval integrační tokeny spojené s Gainsight, zatímco probíhá šetření. Tato akce snižuje okamžité riziko dalších výtažků dat, avšak zároveň zdůrazňuje důležitost procesů pro rychlé odvolání přístupových práv a rotaci tokenů v případě incidentu.

Pro podniky tato událost představuje jasné varování: pravidelně auditovat připojení aplikací třetích stran, rotovat a rušit neaktivní či kompromitované tokeny, a monitorovat přístupy a chování API pro neobvyklé aktivity, jako jsou náhlé velké exporty nebo přístup mimo běžné časové a geografické vzory. Dále je doporučeno uplatnit zásady nejmenších privilegií (least privilege), segmentovat přístup k datům podle role a minimalizovat počet integračních služeb s širokými oprávněními. V případě kompromitace integrace může mít „blast radius“ (rozsah dopadu) daleko širší dosah než u samostatného vendoru — proto je často nutné, aby výsledky potvrdily nezávislé forenzní týmy na více frontách, než bude možné plně určit dopad.

Zdroj: smarti

Řetězcový útok přes Gainsight odcizil data Salesforce

Jak útok probíhal

Kdo je jmenován — a kdo to popírá

Zanechte komentář

Komentáře

Související příspěvky

Austrálie zakázala sociální sítě pro mladší 16 let; Dělá to i Česká?

Konec Microsoft Lens: jak zálohovat skeny a najít náhradu

Zvýšení cen paměti u Framework: dopady a volby

Cowork: Claude Code pro každodenní kancelářskou produktivitu

UCP: Nová vrstva pro agentní obchodování a e-commerce

Xiaomi 17 Max — 8 000 mAh a rychlé nabíjení pro vlajkové

Xiaomi 17 Air: odvážný experiment ultra tenkého telefonu

Samsung Watch8 a Watch8 Classic: nová generace Wear OS

Xiaomi s integrovaným ventilátorem: revoluce chlazení mobilů

X nahradil emoji íránské vlajky symbolem Lev a Slunce

Huawei Pura 90 Ultra: 200MP teleobjektiv a testy 2026

OnePlus 16: Návrat Pro nebo Ultra? Úniky a analýza