ShinyHunters атакуват Salesforce чрез уязвимата Gainsight интеграция

Picture of Здравко Боджов
Здравко Боджов
Уязвимости

Сложна supply chain атака компрометира данни на стотици организации, като инцидентът е свързан с критична интеграция между платформата за управление на клиентски успех Gainsight и CRM гиганта Salesforce.

Хакерската група ShinyHunters пое отговорност за атаката, която според източници засяга над 200 компании. Важен детайл е, че пробивът не е в самата Salesforce платформа, а чрез експлоатиране на доверената връзка с трета страна.

Как се случи пробивът

На 20 ноември 2025 г. Salesforce предприе спешни действия, временно деактивирайки връзката между Gainsight приложенията и Salesforce екосистемата след засичане на „необичайна активност“.

Механизъм на атаката:

  • Атакуващите са използвали OAuth токени, предоставящи на приложенията цифрови „пропуски“ за достъп.

  • Чрез откраднати токени хакерите са могли да заобиколят многофакторна автентикация и стандартни защитни механизми, представяйки се като доверено приложение.

  • Методът позволява латерално движение в облачната среда, невидимо за традиционните защити.

Salesforce уточни, че платформата не е уязвима сама по себе си, а пробивът е резултат от управлението на външната интеграция и токени на Gainsight.

Индикатори за компрометация (IoC)

Атаката е свързана с множество IP адреси и подозрителни user agent-и, включително VPN и прокси услуги като Mullvad, Surfshark, Proton и Tor, както и Python скриптове за автоматизирано извличане на данни.

Примери:

  • IP: 198.54.135[.]148 – Mullvad VPN; рекогниция и неоторизиран достъп

  • User Agent: python-requests/2.28[.]1 – неочакван агент за Gainsight интеграция

  • IP: 3.239.45[.]43 – AWS; рекогниция срещу клиенти с компрометирани токени

Тези индикатори позволяват на администраторите да идентифицират аномалии и потенциални компрометирани интеграции.

Препоръки за SaaS администратори

  • Преглед и ревокация на OAuth токени за всички неподдържани или подозрителни интеграции.

  • Следене на официални уведомления от Salesforce и Gainsight за всеки признак на компрометирани приложения.

  • Връщане на идентификационни данни при засичане на аномалии.

  • Периодичен одит на всички свързани SaaS приложения, за да се предотврати бъдещо неправомерно използване на доверени връзки.

Този инцидент подчертава новото направление в киберпрестъпленията – атаки, насочени към идентичности и токени, вместо към традиционните уязвимости на софтуера.

#Gainsight, # OAuth токени, # Salesforce, # ShinyHunters, # supply chain атака
e-security.bg

Подобни

Next.js и React2Shell уязвимостта се експлоатира масово
9.12.2025
vulnerabilities pexels-shkrabaanthony-5475752
Kритична уязвимост в Cal.com
9.12.2025
security-4038151_640
Масово блокиране на Porsche в Русия
8.12.2025
porsche-918-spyder-2462278_640
PromptPwnd - нов клас уязвимости разкрива риск от компрометиране на CI/CD
8.12.2025
vulnerable
Критични уязвимости в Avast
8.12.2025
avast
Китайски хакери вече експлоатират критичната уязвимост React2Shell
6.12.2025
china_TY_Lim_shutterstock

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov
Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Черният петък - реални сделки или маркетингов мираж?
27.11.2025
black_cat_Saro_o_Neal_Alamy

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.