Компания заявила, что приняла меры, отменив все активные токены доступа и обновления, связанные с приложениями Gainsight, подключенными к Salesforce. Также приложения были временно удалены с AppExchange до завершения расследования.
Salesforce не раскрыла, сколько клиентов пострадало от инцидента, но сообщила, что они были уведомлены.
Услуги по поддержке DFIR
В целях предосторожности приложение Gainsight было временно удалено с HubSpot Marketplace, а доступ к Zendesk был отозван. «Это также может повлиять на OAuth-доступ для клиентских подключений в ходе расследования», — заявила Gainsight. «На данный момент не было зафиксировано подозрительной активности, связанной с HubSpot.»
В посте на LinkedIn Остин Ларсен, главный аналитик угроз в Google Threat Intelligence Group (GTIG), охарактеризовал ситуацию как «новую кампанию», нацеленную на приложения Gainsight, подключенные к Salesforce, с использованием компрометированных сторонних OAuth-токенов для получения несанкционированного доступа.
Активность, по оценкам, связана с группой ShinyHunters (также известной как UNC6240), что напоминает серию атак, нацеленных на экземпляры Salesloft Drift в августе этого года.
По данным DataBreaches.Net, ShinyHunters подтвердили, что кампания является их работой, и заявили, что атаки на Salesloft и Gainsight позволили им украсть данные из почти 1000 организаций.
Интересно, что ранее Gainsight заявляла, что также была одним из клиентов Salesloft Drift, пострадавших в предыдущей атаке. Однако на данный момент неясно, сыграла ли предыдущая утечка данных роль в нынешнем инциденте.
CIS Build Kits
В ходе той атаки злоумышленники получили доступ к контактным данным бизнес-партнеров, связанным с контентом Salesforce, включая имена, рабочие адреса электронной почты, номера телефонов, данные о регионе/местоположении, информацию о лицензиях на продукты и содержание поддерживающих кейсов (без вложений).
- Источник: https://thehackernews.com/2025/11/salesforce-flags-unauthorized-data.html