8 Minuten
Google bestätigte, was Sicherheitsforscher befürchtet hatten: Ein Kettenangriff, der seinen Ursprung in Gainsight-Anwendungen hatte, führte zu einem weitreichenden Datenabfluss bei Salesforce. Mehr als 200 weltweit tätige Unternehmen könnten betroffen sein. Neue Details zeigen nun, wie Angreifer von einer Drittanbieter-App in Unternehmensdaten gelangten und welche Mechanismen den Übergang ermöglichten.
Wie sich der Angriff abgespielt hat
Berichten und Stellungnahmen betroffener Anbieter zufolge begann die Kompromittierung über Gainsight — ein verbreitetes Customer-Success- und Integrationswerkzeug — und ermöglichte Angreifern den Zugriff auf in Salesforce-Instanzen gespeicherte Daten. Die Täter sollen Authentifizierungs-Token aus früheren Kompromittierungen von Drittanbieterkunden verwendet haben, wodurch sie Integrationen nachahmen und Daten aus verbundenen Salesforce-Organsationen herunterladen konnten.
TechCrunch und andere Medien berichten, dass die Gruppe, die sich Scattered Lapsus$ Hunters nennt und Mitglieder aus ShinyHunters sowie weiteren Teams umfasst, die Verantwortung beanspruchte. In Gesprächen mit Medien gab ShinyHunters an, dass man Zugriff verwendet habe, der aus einer früheren Kompromittierung von Salesloft-Kunden stammte, sowie gestohlene Drift-Token, um zunächst Gainsight und anschließend Salesforce zu erreichen.
Google ergänzte, dass vermutlich eine große Anzahl an Salesforce-Instanzen betroffen ist. Salesforce wies die Vorstellung einer platformweiten Schwachstelle zurück und erklärte, der Vorfall sei nicht durch eine Verwundbarkeit im Kerndienst entstanden. Dennoch demonstriert die Angriffskette, wie eine Sicherheitslücke bei einem einzigen Drittanbieter über Integrationen auf viele Kunden überschwappen kann — ein typisches Merkmal von Supply-Chain-Angriffen und Datenexfiltration über Drittanbieter-Apps.
Technische Details: Token-Mechanik und Integrationspfade
Im Kern des Vorfalls standen offenbar gestohlene OAuth- oder API-Token, die Integrationen authentifizieren. Solche Tokens erlauben es Drittanbieter-Apps, im Namen eines verbundenen Kontos auf APIs zuzugreifen, ohne dass ein Benutzerpasswort unmittelbar weitergegeben werden muss. Wenn ein Token kompromittiert wurde — etwa durch einen zuvor kompromittierten Dienst wie Salesloft oder Drift — können Angreifer die gleichen Rechte nutzen, die die Integration besitzt, einschließlich Lese‑ und in einigen Fällen Exportberechtigungen für Kundendaten.
Angreifer nutzen typischerweise mehrere Schritte: Zuerst erlangen sie Zugriff auf einen weniger geschützten Drittanbieterdienst. Aus dort gespeicherten Integrationsinformationen extrahieren sie Zugangstoken oder Refresh-Token. Anschließend können diese Tokens verwendet werden, um weitere integrierte Dienste (in diesem Fall Gainsight) anzusprechen und über die Kaskade von Berechtigungen schließlich auf Salesforce-Organisationen zuzugreifen. Solch eine horizontale Bewegung entlang von Integrationen erhöht den sogenannten Blast Radius deutlich.
Warum Token-Diebstahl so gefährlich ist
Token sind in modernen Cloud-Ökosystemen zentrale Vertrauensanker. Anders als Passwörter werden sie oft langlebig eingesetzt, selten rotiert und können weitreichende Rechte beinhalten. Besonders gefährlich ist es, wenn Tokens mit breiten OAuth-Scopes ausgestellt wurden — etwa mit der Möglichkeit, Datensätze zu lesen, zu exportieren oder Prozesse auszulösen. Angreifer, die diese Tokens nutzen, erscheinen in Systemprotokollen häufig als legitime Integration und erschweren forensische Analysen.
Zusätzlich erschwert die Fragmentierung der Verantwortlichkeiten zwischen SaaS-Anbietern, Integratoren und Endkunden die schnelle Identifikation des eigentlichen Einfalltors. In vielen Unternehmen ist unklar dokumentiert, welche Drittanbieter-App welche Berechtigungen besitzt, wie lange Tokens gültig sind und welche Integrationen im Hintergrund aktiv sind.
Zeitleiste und forensische Fragestellungen
Eine robuste Untersuchung erfordert die genaue Rekonstruktion der Kette: Welcher Dienst war der erste kompromittierte Knoten? Wurden Tokens exfiltriert oder abgegriffen? Welche APIs wurden aufgerufen und welche Datensätze heruntergeladen? Diese Fragen sind essenziell, um den Umfang der Datenexfiltration zu bestimmen und zu prüfen, welche Kunden oder Geschäftsbereiche am stärksten betroffen sind.
Forensiker prüfen daher API-Logs, OAuth-Token-Ausstellungen, IP-Adressen, ungewöhnliche Zeitfenster für API-Aufrufe sowie Muster wie Massendownloads oder Exportjobs. Auch die Überprüfung von Refresh-Token-Rotationen, die erste Ausstellung der Tokens und der Ursprungspunkte von Integrationskonfigurationen ist entscheidend.
Wer genannt wird — und wer dies bestreitet
Scattered Lapsus$ Hunters nannte mehrere prominente Unternehmen als mögliche Opfer, darunter Atlassian, CrowdStrike, DocuSign und LinkedIn. Einige betroffene Firmen reagierten umgehend und bestritten die Vorwürfe: CrowdStrike und DocuSign erklärten, sie hätten keine Hinweise auf Datenexfiltration aus ihren Systemen gefunden. CrowdStrike gab zudem bekannt, einen Mitarbeiter entlassen zu haben, der verdächtigt wird, mit den Angreifern zusammengearbeitet zu haben.
Weitere Organisationen wie Verizon, Malwarebytes und Thomson Reuters teilten mit, dass sie die Behauptungen untersuchten, aber noch keine abschließenden Ergebnisse veröffentlichten. Diese unterschiedlichen Reaktionen verdeutlichen die Unsicherheit, die solche groß angelegten Supply-Chain-Vorfälle begleitet: Öffentlich gemachte Anschuldigungen können der forensischen Analyse vorauslaufen und zu Verwirrung über den tatsächlichen Umfang des Datenverlusts führen.
Koordination der Vorfallsreaktion
Gainsight arbeitet mit Incident-Response-Experten von Mandiant zusammen, um die Wurzelursache nachzuvollziehen und die Integrität der Plattform wiederherzustellen. Parallel dazu deaktivierte Salesforce vorübergehend Integrationstokens, die mit Gainsight verknüpft waren, als vorsorgliche Maßnahme, während die Untersuchungen liefen. Solche zeitweiligen Maßnahmen sind in der Vorfallsreaktion üblich, da sie kurzfristig den Zugriff einschränken, bis eine genauere Risikobewertung vorliegt.
Unternehmen, die Drittanbieter-Integrationen betreiben, sollten in solchen Fällen eng mit den betroffenen Anbietern zusammenarbeiten, Zugangspfade priorisieren und präzise Kommunikationslinien zu Kunden, Aufsichtsbehörden und Partnern etablieren. Transparenz ist wichtig, aber sie muss mit verifizierten Fakten abgestimmt werden, um Panik und Fehlinformationen zu vermeiden.
Praktische Empfehlungen für Unternehmen
Der Vorfall ist eine eindringliche Erinnerung an grundlegende Sicherheitsmaßnahmen im Umgang mit Drittanbieter-Apps und Integrationen. Konkrete Schritte, die Unternehmen unverzüglich prüfen sollten, umfassen:
- Audit aller Drittanbieter-Apps und Integrationen: Erfassen Sie, welche Integrationen existieren, welche Berechtigungen sie haben und auf welche Daten sie zugreifen können.
- Token-Rotation und Widerruf: Rotieren Sie Tokens regelmäßig und widerrufen Sie nicht mehr benötigte oder veraltete Tokens sofort.
- Least-Privilege-Prinzip: Beschränken Sie OAuth-Scopes und API-Rechte auf das notwendige Minimum.
- Monitoring und Alerting: Implementieren Sie Erkennungsregeln für ungewöhnliche API-Aktivität, Massendownloads oder Zugriffsmuster außerhalb typischer Geschäftszeiten.
- MFA und starke Identitätskontrollen: Nutzen Sie Multi-Faktor-Authentifizierung für administrative Konten und Integrationsplattformen.
- Contractual & Governance Controls: Verhandeln Sie Sicherheitsanforderungen und Vorfallmeldeprozesse vertraglich mit Drittanbietern.
Darüber hinaus empfiehlt es sich, technische Maßnahmen wie rate limiting, Data Loss Prevention (DLP), CASB (Cloud Access Security Broker) und SIEM-Korrelationen (Security Information and Event Management) einzusetzen, um potenzielle Datenexfiltration frühzeitig zu erkennen und einzudämmen.
Erkennungsindikatoren (Indicators of Compromise)
Sicherheits- und SOC-Teams sollten gezielt nach folgenden Indikatoren suchen, die auf eine Integration-Kompromittierung hinweisen können:
- Unerwartete OAuth-Token-Ausstellungen oder Token mit ungewöhnlich langer Gültigkeitsdauer.
- Plötzliche, großvolumige API-Downloads oder Exportjobs aus CRM- oder Datenbanken.
- API-Aufrufe von IP-Adressen oder Regionen, die nicht zu bekannten Geschäftspartnern gehören.
- Logins oder Service-Account-Aktivitäten außerhalb normaler Betriebszeiten.
- Vermehrte Fehlermeldungen bei API-Requests kombiniert mit erfolgreichen Massendatenexporten.
Diese Indikatoren allein sind nicht immer beweisend, aber im Kontext mehrerer Hinweise können sie schnelle Alarmmaßnahmen rechtfertigen.
Langfristige Sicherheitsstrategien
Langfristig sollten Unternehmen ihre Sicherheitsstrategie so ausrichten, dass Supply-Chain-Risiken systematisch adressiert werden. Wichtige Elemente sind:
- Identity-Centric-Security: Strikte Kontrolle über Service-Konten und Integrationsidentitäten.
- Least-Privilege-Architektur: Granulare Berechtigungsvergabe und regelmäßige Überprüfungen.
- Vendor Risk Management: Risikobewertungen und Sicherheitsanforderungen für Drittanbieter verpflichtend machen.
- Incident-Response-Playbooks: Vorab definierte Abläufe für mögliche Drittanbieter-Compromises.
- Transparenz in der Log- und Datenhaltung: Zentralisiertes Logging, um Kettenbewegungen nachzuvollziehen.
Solche Maßnahmen vermindern nicht nur das Risiko einer direkten Kompromittierung, sondern verringern auch die Auswirkungen, falls ein Drittanbieter dennoch betroffen ist.
Auswirkungen auf Branchen und Compliance
Ein Vorfall dieser Größenordnung kann branchenspezifische Auswirkungen haben: In regulierten Sektoren wie Finanzen, Gesundheitswesen oder Recht sind Unternehmen verpflichtet, Datenschutzverstöße zu melden und können mit Bußgeldern oder Aufsichtsmaßnahmen rechnen, wenn persönliche Daten betroffen sind. Datenschutz-Grundverordnung (DSGVO) und andere nationale Regularien sehen strikte Meldepflichten vor, die zeitnah erfüllt werden müssen.
Für Kunden von Salesforce und anderen SaaS-Anbietern ist es wichtig, interne Compliance-Teams frühzeitig einzuschalten, Datenschutzfolgenabschätzungen zu prüfen und, falls nötig, betroffene Kunden und Aufsichtsbehörden gemäß gesetzlichen Vorgaben zu informieren.
Kommunikation und Reputation
Die öffentliche Kommunikation nach einem Datenleck ist heikel: Zu späte oder unklare Informationen können den Reputationsschaden erhöhen, während voreilige, unbestätigte Aussagen zu Fehlinformationen führen können. Unternehmen sollten daher standardisierte Kommunikationsprotokolle haben, die sowohl technische Details als auch rechtliche und PR-Aspekte adressieren.
Ein wirksamer Kommunikationsplan enthält klare Verantwortlichkeiten, vordefinierte Templates für Kundenbenachrichtigungen und abgestimmte Botschaften für Medien sowie interne Mitarbeitende.
Fazit und Handlungsempfehlungen
Der Gainsight‑/Salesforce-Vorfall unterstreicht die Gefahren, die von Drittanbieter-Integrationen ausgehen. Die Hauptlehren für IT‑ und Sicherheitsverantwortliche lauten:
- Regelmäßige Audits und Inventarisierung aller Integrationen und OAuth-Scopes.
- Schnelle Token-Rotation und Widerruf bei Verdacht.
- Einführung von Überwachungs- und DLP‑Mechanismen zur Erkennung untypischer Exportmuster.
- Vertragliche Sicherheitsanforderungen und erhöhte Transparenz mit Drittanbietern.
- Planung und Übung von Vorfallszenarien, speziell für Supply‑Chain‑Angriffe.
Nur durch eine Kombination aus technischer Härte, organisatorischer Vorbereitung und klaren Prozessen lässt sich der Blast Radius vergleichbarer Vorfälle begrenzen. Unternehmen sollten die aktuelle Lage als Anlass nehmen, integrierte Sicherheits- und Governance‑Modelle zu überprüfen, um künftig resilienter gegenüber Supply‑Chain-Risiken und Datenexfiltration zu sein.
In den kommenden Wochen werden weitere forensische Erkenntnisse und Statements der betroffenen Anbieter erwartet. Bis dahin bleibt eine proaktive Prüfung von Drittanbieter-Integrationen, eine strikte Tokenverwaltung und ein intensives Monitoring die beste kurzfristige Verteidigung gegen ähnliche Angriffe.
Quelle: smarti
Kommentar hinterlassen