Một cuộc tấn công chuỗi cung ứng tinh vi đã bị cáo buộc làm đánh cắp dữ liệu của hàng trăm tổ chức, liên kết vụ vi phạm với một tích hợp quan trọng giữa nền tảng thành công khách hàng Gainsight và gã khổng lồ CRM Salesforce. Nhóm tin tặc khét tiếng ShinyHunters đã nhận trách nhiệm về vụ xâm nhập, được cho là ảnh hưởng đến hơn 200 công ty.

Véc-tơ tấn công không dựa vào việc đột nhập trực tiếp vào Salesforce mà thay vào đó là khai thác kết nối đáng tin cậy được thiết lập thông qua các ứng dụng của bên thứ ba.

Bối cảnh và Diễn biến Cuộc Tấn công

Véc-tơ Tấn công và Vai trò của ShinyHunters

Vào ngày 20 tháng 11 năm 2025, Salesforce đã thực hiện hành động khẩn cấp để ngăn chặn mối đe dọa. Công ty đã chính thức vô hiệu hóa kết nối giữa các ứng dụng do Gainsight phát hành và hệ sinh thái Salesforce sau khi phát hiện “hoạt động bất thường”.

Theo một tuyên bố từ Salesforce, cuộc điều tra của họ cho thấy hoạt động này tạo điều kiện cho việc truy cập trái phép vào dữ liệu khách hàng, đặc biệt là thông qua kết nối bên ngoài của ứng dụng.

Cơ chế của chiến dịch này làm nổi bật một xu hướng ngày càng tăng trong chiến tranh mạng hiện đại: nhắm mục tiêu vào “chìa khóa” thay vì “ổ khóa”. Nhóm Tình báo Mối đe dọa của Google (GTIG), bao gồm các nhà nghiên cứu từ Mandiant, đã xác định các tác nhân đe dọa là các chi nhánh của ShinyHunters. Những kẻ thù này đã xâm phạm các OAuth tokens của bên thứ ba.

Kỹ thuật Khai thác OAuth Tokens

Bản chất của OAuth Tokens trong Môi trường SaaS

Trong môi trường SaaS, OAuth tokens hoạt động như những phiếu quyền kỹ thuật số. Chúng cho phép các ứng dụng như Gainsight giao tiếp với Salesforce mà không yêu cầu người dùng đăng nhập mỗi lần.

Bằng cách đánh cắp các tokens này, những kẻ tấn công có thể bỏ qua xác thực đa yếu tố và các biện pháp phòng thủ đăng nhập tiêu chuẩn. Chúng mạo danh ứng dụng đáng tin cậy để đánh cắp dữ liệu nhạy cảm của doanh nghiệp.

Phương pháp này cho phép các tác nhân đe dọa di chuyển ngang trong môi trường đám mây. Đồng thời, chúng vẫn không bị phát hiện bởi các biện pháp bảo mật vành đai truyền thống.

Phản ứng của Salesforce và Phạm vi ảnh hưởng

Mặc dù phạm vi đánh cắp dữ liệu có khả năng rất lớn, Salesforce đã làm rõ sự phân biệt về trách nhiệm. Công ty nhấn mạnh rằng “không có dấu hiệu nào cho thấy vấn đề này bắt nguồn từ bất kỳ lỗ hổng nào trong nền tảng Salesforce”.

Thay vào đó, vi phạm này liên quan chặt chẽ đến kết nối bên ngoài và việc quản lý thông tin xác thực cho tích hợp Gainsight. Hiện tại, khách hàng không thể kết nối các ứng dụng do Gainsight phát hành với Salesforce cho đến khi có thông báo mới.

Cả Salesforce và Mandiant đang tích cực thông báo cho các tổ chức có dấu hiệu bị thỏa hiệp. Vụ việc này phản ánh các chiến dịch tương tự được quan sát gần đây, chẳng hạn như các cuộc tấn công mạng nhắm vào Salesloft Drift. Điều này cho thấy một nỗ lực phối hợp của các nhóm đe dọa nhằm kiểm tra và khai thác các hệ sinh thái SaaS nơi quyền của bên thứ ba thường được cấp và bị lãng quên.

Giảm thiểu Rủi ro Bảo mật và Phòng thủ Chủ động

Kiểm toán và Thu hồi OAuth Tokens

Sự cố này là một lời cảnh tỉnh quan trọng cho các tổ chức dựa vào các nền tảng SaaS được kết nối với nhau. Các nhóm bảo mật được khuyến khích ngay lập tức coi đây là tín hiệu để kiểm tra toàn bộ môi trường đám mây của họ.

Khuyến nghị chính là xem xét tất cả các ứng dụng được kết nối trong các phiên bản Salesforce. Sau đó, thu hồi OAuth tokens cho bất kỳ tích hợp nào không sử dụng, đáng ngờ hoặc liên quan đến các ứng dụng Gainsight bị ảnh hưởng.

Các tổ chức sử dụng tích hợp Gainsight nên theo dõi các thông báo chính thức từ cả hai nhà cung cấp: Salesforce và Gainsight.

Quan trọng của Quản lý Quyền Bên Thứ Ba

Tuy nhiên, phòng thủ chủ động là điều cần thiết. Nếu phát hiện bất kỳ hoạt động bất thường nào từ một tích hợp, quản trị viên phải xoay vòng thông tin xác thực ngay lập tức và giả định có khả năng bị thỏa hiệp.

Khi các tác nhân đe dọa ngày càng chuyển hướng sang các cuộc tấn công dựa trên danh tính và đánh cắp token, việc duy trì quyền của bên thứ ba đã trở nên quan trọng như việc vá các lỗ hổng phần mềm. Đây là một khía cạnh cốt lõi của an ninh mạng hiện đại nhằm ngăn chặn đánh cắp dữ liệu.

Chỉ số Nhận dạng Thỏa hiệp (IoCs)

Trong khi các chỉ số nhận dạng thỏa hiệp (IoCs) thường được cung cấp để hỗ trợ phát hiện và ứng phó, nội dung gốc không cung cấp danh sách cụ thể các IoCs liên quan đến chiến dịch ShinyHunters nhắm mục tiêu vào các tích hợp Salesforce và Gainsight.