Gainsight、Salesforce関連のトークン侵害を検証し新たなIOCを発行
カスタマーサクセスプラットフォームのリーディング企業であるGainsightは、同社のSalesforce連携に絡むセキュリティインシデントにより、一部顧客のトークンが侵害されたことを確認しました。この発表は、先週Salesforceが発行したセキュリティ勧告を受けて行われ、Gainsightの接続アプリケーションが一時的に無効化された後のことです。
感謝祭前の声明で、Gainsightの経営陣はSalesforceが特定した異常な活動について言及し、調査は継続中であるものの、現時点での影響は限定的であると強調しました。「Salesforceは侵害された顧客トークンを特定しましたが、現時点でデータが影響を受けた顧客はごく少数であることを把握しています」と同社は述べています。Gainsightによると、Salesforceは関係する特定の顧客にすでに通知しており、Gainsightのサポートチームは影響を受けた組織と直接連携しています。
緊急対応と調査
このインシデントは、SalesforceがGainsightの接続アプリに関連する異常を検知したことから始まりました。予防措置として、潜在的な水平移動やデータ流出を防ぐために連携は切断されました。Gainsightは直ちに第三者のサイバーセキュリティ専門家と連携し、社内のセキュリティ、サポート、製品チームと共に侵害の分析と安全な接続の復元に取り組んでいます。
顧客業務への混乱を認識し、同社はSalesforceアプリがオフラインの間、顧客が事業継続性を維持できるよう専門チームを動員しました。これには、カスタマーサクセス(CS)インスタンスの管理の代替方法や、データ取り込みのための直接的なサポートが含まれます。
推奨される対策とIOC
11月26日、Gainsightは、サービス停止中に顧客が環境を強化するための予防的な侵害指標(IOCs)と防御策のセットをリリースしました。これらの推奨事項は以下の通りです。
- キーのローテーション:S3バケットおよびBigQuery、Zuora、Snowflakeを含むその他のコネクタのアクセスキーを直ちにローテーションすること。
- 直接認証:連携が完全に復元されるまで、Salesforce経由ではなくGainsight NXTに直接ログインすること。
- 資格情報のリセット:シングルサインオン(SSO)を使用していないアカウントのNXTユーザーパスワードをリセットすること。
- 再認証:ユーザー資格情報またはトークンに依存する接続アプリケーションを再認証すること。
同社はまた、管理者によるデータパイプラインの保護を支援するため、キーのローテーションとコネクタの再認証に関する具体的な手順を詳述した技術PDFガイド(V2)もリリースしました。
業界へのコミットメント
Gainsightは今回のインシデントをより広範な業界の課題の一部と捉え、調査完了後には完全な振り返りを公表することを誓っています。「これらの脅威に打ち勝つ唯一の方法は、協力し、情報と戦略を共有することです」と声明は述べています。同社は、類似の攻撃ベクトルに対する防御をSaaSコミュニティ全体で強化するために、その調査結果を共有することにコミットしています。
カスタマーサクセスチームにとってプラットフォームの重要性を認識し、Gainsightは事業継続性の要求を最優先しています。緊急の支援が必要な顧客は、APIまたはS3バケット経由のデータ転送に関する重要なワークフローと技術的能力を詳細に記載したサポートチケットを開くよう助言されています。Salesforce連携の復元およびさらなるフォレンジック調査結果に関する最新情報は、Gainsightのステータスおよびコミュニティページで引き続き公開されます。