Salesforce mengatakan pihaknya mencabut token penyegaran yang terkait dengan aplikasi yang diterbitkan Gainsight sambil menyelidiki gelombang baru serangan pencurian data yang menargetkan pelanggan.
Perusahaan perangkat lunak berbasis cloud ini mencatat bahwa hal ini tidak berasal dari kerentanan dalam platform manajemen hubungan pelanggan (CRM) karena semua bukti menunjukkan aktivitas jahat terkait dengan koneksi eksternal aplikasi ke Salesforce.
“Salesforce telah mengidentifikasi aktivitas tidak biasa yang melibatkan aplikasi yang diterbitkan Gainsight yang terhubung ke Salesforce, yang diinstal dan dikelola langsung oleh pelanggan. Investigasi kami menunjukkan aktivitas ini mungkin telah memungkinkan akses tidak sah ke data Salesforce pelanggan tertentu melalui koneksi aplikasi,” katanya dalam penasehat Kamis pagi.
“Setelah mendeteksi aktivitas tersebut, Salesforce mencabut semua akses aktif dan token penyegaran yang terkait dengan aplikasi yang diterbitkan Gainsight yang terhubung ke Salesforce dan untuk sementara menghapus aplikasi tersebut dari AppExchange sementara penyelidikan kami berlanjut.”
Salesforce telah memperingatkan semua pelanggan yang terkena dampak insiden ini dan menyarankan mereka yang memerlukan bantuan lebih lanjut untuk menghubungi tim Bantuan Salesforce.
Meskipun perusahaan belum memberikan rincian lebih lanjut mengenai serangan ini, insiden ini mirip dengan pelanggaran Salesloft pada Agustus 2025, ketika kelompok pemerasan yang dikenal sebagai “Pemburu Lapsus$ Tersebar” mencuri informasi sensitif, termasuk kata sandi, kunci akses AWS, dan token Snowflake, dari instans Salesforce pelanggan, menggunakan token OAuth yang dicuri untuk integrasi obrolan Drift AI Salesloft dengan Salesforce.
Kelompok pemerasan ShinyHunters mengatakan kepada BleepingComputer pada saat itu bahwa serangan pencurian data Salesloft mempengaruhi sekitar 760 perusahaan, yang mengakibatkan pencurian 1,5 miliar catatan Salesforce.
Perusahaan yang diketahui terkena dampak serangan Salesloft antara lain Google, awan suar, Rubrik, Elastis, Titik bukti, JFrog, skalar, Dapat dipertahankan, Jaringan Palo Alto, CyberArk, Melampaui Kepercayaan, Nutanix.dll, kualitasDan Jaringan Cato, di antara banyak lainnya.
Hari ini, dalam pesan yang dipertukarkan dengan BleepingComputer, ShinyHunters mengklaim bahwa mereka memperoleh akses ke 285 instance Salesforce lainnya setelah melanggar Gainsight melalui rahasia yang dicuri dalam pelanggaran drift Salesloft.
Mendapatkan wawasan dikonfirmasi sebelumnya itu dilanggar melalui token OAuth curian yang ditautkan ke Salesloft Drift dan mengatakan bahwa penyerang mengakses detail kontak bisnis, termasuk nama, alamat email bisnis, nomor telepon, detail regional/lokasi, informasi lisensi, dan konten kasus dukungan.
BleepingComputer menghubungi Gainsight dengan pertanyaan tentang serangan pencurian data yang terkait dengan aplikasi Gainsight, namun tanggapannya tidak segera tersedia.
Lembar Cheat Keamanan Rahasia: Dari Sprawl hingga Control
Baik Anda membersihkan kunci lama atau menyetel pagar pembatas untuk kode yang dihasilkan AI, panduan ini membantu tim Anda membangun dengan aman sejak awal.
Dapatkan lembar contekan dan hilangkan dugaan tentang manajemen rahasia.
