Ведущая платформа координации уязвимостей HackerOne подтвердила факт несанкционированного доступа к своей среде Salesforce в результате недавнего инцидента, связанного с безопасностью третьей стороны. Атака произошла через приложение Drift, предоставляемое компанией Salesloft, что позволило злоумышленникам получить доступ к записям, хранящимся в Salesforce.
Инцидент был инициирован 22 августа, когда Salesforce уведомила клиентов о подозрительной активности, связанной с интеграцией Drift от Salesloft. На следующий день Salesloft подтвердила, что несанкционированная сторона воспользовалась уязвимостью в интеграции приложения Drift с Salesforce, получив доступ к определённым записям клиентов across multiple companies. HackerOne была среди компаний, получивших уведомление от Salesforce 22 августа, а подтверждение о нарушении от Salesloft последовало 23 августа.
После получения уведомления группа безопасности HackerOne немедленно активировала план реагирования на инциденты и начала тесное сотрудничество с Salesforce и Salesloft для определения точного круга затронутых систем и записей. Предварительные результаты показали, что нарушение было ограничено подмножеством данных в экземпляре Salesforce HackerOne, доступ к которому был получен через скомпрометированную интеграцию Drift. Протоколы безопасности HackerOne, включающие строгое разделение данных и контроль доступа, помогли локализовать инцидент и предотвратить дальнейшую эскалацию.
HackerOne заявила, что скомпрометированные записи не содержали конфиденциальных данных о уязвимостях клиентов или частных отчетов о безопасности. Строгое разделение внутренних данных и информации об уязвимостях клиентов гарантировало, что никакие детали эксплойтов, код доказательства концепции или оценки уязвимостей не были раскрыты. Вместо этого, похоже, что утечка затронула общие записи Salesforce, такие как контактная информация и стандартные данные учетных записей.
Несмотря на ограниченный объем, HackerOne привлекла внешних экспертов-криминалистов для проверки полного масштаба нарушения и обеспечения отсутствия остаточного доступа. Компания анализирует все журналы, события аутентификации и потоки данных, связанные с интеграцией Drift. В качестве меры предосторожности HackerOne отключила затронутую интеграцию и сотрудничает с Salesloft для развертывания безопасного обновления для Drift, устраняющего уязвимость.
В соответствии с основным принципом Default to Disclosure, HackerOne стремится к прозрачности на протяжении всего расследования. Компания создала выделенный канал поддержки для клиентов, у которых есть опасения по поводу инцидента. Все пострадавшие лица получат прямые уведомления, и HackerOne предоставит рекомендации по мониторингу необычной активности, которая может возникнуть в результате нарушения. Клиентам рекомендуется проверять уведомления аккаунта от HackerOne и Salesforce и обращаться в службу безопасности HackerOne при возникновении вопросов.
Поддерживая открытое общение и оперативно устраняя уязвимости, HackerOne стремится оправдать доверие, которое организации возлагают на его платформу, ответственно управляя и защищая свою наиболее конфиденциальную информацию о безопасности.