Când aplicațiile externe creează probleme: Salesforce a anunțat revocarea token-urilor de reîmprospătare legate de aplicațiile publicate de Gainsight, în timp ce investighează un nou val de atacuri care au vizat datele clienților. Se pare că problema nu provine dintr-o vulnerabilitate a platformei CRM, ci din conexiunile externe ale acelor aplicații cu Salesforce.
Istoricul atacurilor asupra integrărilor cloud include deja episoade notabile: în august 2025, o breșă la Salesloft a condus la furtul de token-uri OAuth folosite de integrarea Drift AI cu Salesforce, iar grupuri de tip extorcare au exploatat accesul obținut. Acum, activitatea neobișnuită identificată de Salesforce pare legată de aplicații Gainsight instalate și administrate direct de clienți, iar investigațiile interne indică faptul că această conexiune externă ar fi facilitat accesul neautorizat la datele unor clienți.
La detectarea incidentului, Salesforce a revocat toate token-urile active de acces și de reîmprospătare asociate aplicațiilor Gainsight conectate la platformă și a retras temporar acele aplicații din AppExchange până la clarificarea situației. Clienții afectați au fost notificați, iar cei care au solicitat asistență au fost direcționați către echipa de suport Salesforce.
Detaliile tehnice și amploarea exactă a incidentului nu au fost încă făcute publice. Partea îngrijorătoare este că atacurile seamănă cu cele din cazul Salesloft: atunci, grupurile de extorcare Scattered Lapsus$ Hunters și ShinyHunters au susținut că au obținut date sensibile, parole, chei AWS, token-uri Snowflake, și au pus la dispoziție milioane de înregistrări. În breșa Salesloft s-a vorbit despre aproximativ 760 de companii afectate și 1, 5 miliarde de înregistrări Salesforce compromise, iar printre firmele vizate s-au numărat jucători importanți din industrie: Google, Cloudflare, Rubrik, Elastic, Proofpoint, JFrog, Zscaler, Tenable, Palo Alto Networks, CyberArk, BeyondTrust, Nutanix, Qualys și Cato Networks.
Astăzi, în discuții cu BleepingComputer, ShinyHunters au afirmat că ar fi obținut acces la încă 285 de instanțe Salesforce după ce ar fi compromis Gainsight folosind secrete furate în breșa Salesloft Drift. Gainsight recunoscuese anterior că fusese compromisă prin token-uri OAuth furate legate de Salesloft Drift și că atacatorii au accesat informații de contact business, nume, adrese de e-mail profesionale, numere de telefon, date regionale, informații despre licențe și conținutul unor cazuri de suport. BleepingComputer a încercat să obțină și un punct de vedere din partea Gainsight, însă nu a primit un răspuns imediat.
Acest tip de incidente scoate în evidență două aspecte concrete: primul, importanța gestionării token-urilor și a drepturilor acordate aplicațiilor terțe; al doilea, interconectarea serviciilor și riscul ca o breșă să se propage prin lanțul de integrări. Exemple recente includ Salesloft, Drift AI și Gainsight, iar cifrele invocate de investigații, sute de instanțe Salesforce afectate și miliarde de înregistrări în breșele anterioare, ilustrează potențialul impact. Măsurile practice recomandate includ rotirea rapidă a cheilor și token-urilor, monitorizarea activității OAuth, audituri periodice ale integrărilor și revizuirea permisiunilor aplicațiilor instalate din AppExchange sau alte marketplace-uri. De asemenea, companiile sunt încurajate să comunice prompt cu furnizorii și clienții pentru a limita răspândirea efectelor.
Gainsight a confirmat pierderea datelor de contact business în incidentul anterior legat de Salesloft Drift, iar Salesforce a intervenit revocând token-urile și retrăgând aplicațiile de pe AppExchange pe durata investigației. Rămâne de văzut dacă investigațiile vor confirma legătura cu aceeași grupare și ce alte date sau organizații au fost afectate.
Salesforce a revocat token-urile asociate aplicațiilor Gainsight. Ai verificat recent aplicațiile terțe conectate la contul tău Salesforce și permisiunile pe care le au?
Fii primul care comentează