Salesforce afirmó haber revocado los tokens de actualización vinculados a las aplicaciones publicadas por Gainsight mientras investiga una nueva ola de ataques de robo de datos dirigidos a clientes.
La empresa de software en la nube señaló que esto no se debe a una vulnerabilidad en su plataforma de gestión de relaciones con los clientes (CRM), ya que toda la evidencia apunta a que la actividad maliciosa está relacionada con la conexión externa de la aplicación a Salesforce.
“Salesforce ha identificado actividad inusual relacionada con las aplicaciones publicadas por Gainsight conectadas a Salesforce, que son instaladas y administradas directamente por los clientes. Nuestra investigación indica que esta actividad podría haber permitido el acceso no autorizado a los datos de Salesforce de ciertos clientes a través de la conexión de la aplicación”, declaró en un comunicado emitido el jueves por la mañana.
“Al detectar la actividad, Salesforce revocó todos los tokens de acceso y actualización activos asociados a las aplicaciones publicadas por Gainsight conectadas a Salesforce y las eliminó temporalmente de AppExchange mientras continúa nuestra investigación”.
Salesforce ha alertado a todos los clientes afectados sobre este incidente y ha recomendado a quienes necesiten más ayuda que se pongan en contacto con el equipo de ayuda de Salesforce.
Aunque la empresa no ha proporcionado más detalles sobre estos ataques, este incidente es similar a la brecha de seguridad de Salesloft de agosto de 2025, cuando un grupo de extorsión conocido como “Scattered Lapsus$ Hunters” robó información confidencial, incluyendo contraseñas, claves de acceso de AWS y tokens de Snowflake, de las instancias de Salesforce de los clientes, utilizando tokens OAuth robados para la integración del chat de Drift AI de Salesloft con Salesforce.
Google ha confirmado que hackers han robado los datos almacenados en Salesforce de más de 200 empresas en un ataque a gran escala a la cadena de suministro.
En un comunicado, Austin Larsen, analista principal de amenazas de Google Threat Intelligence Group, afirmó que la compañía “tiene conocimiento de más de 200 instancias de Salesforce potencialmente afectadas”.
El grupo de extorsión ShinyHunters declaró al sitio BleepingComputer en aquel momento que los ataques de robo de datos de Salesloft afectaron a unas 760 empresas, resultando en el robo de 1,500 millones de registros de Salesforce.
Entre las empresas que se sabe que se vieron afectadas por los ataques de Salesloft se encuentran Google, Cloudflare, Rubrik, Elastic, Proofpoint, JFrog, Zscaler, Tenable, CyberArk, BeyondTrust, Nutanix, Qualys y Cato Networks, entre muchas otras.
En mensajes intercambiados con dicho sitio iinformativo, ShinyHunters afirmó haber obtenido acceso a otras 285 instancias de Salesforce tras vulnerar la seguridad de Gainsight mediante secretos robados en la brecha de seguridad de Salesloft Drift.
Gainsight confirmó previamente que fue víctima de una vulneración mediante tokens OAuth robados vinculados a Salesloft Drift y afirmó que los atacantes accedieron a datos de contacto empresariales, incluyendo nombres, direcciones de correo electrónico, números de teléfono, información regional/de ubicación, información de licencias y contenido de casos de soporte.
BleepingComputer contactó a Gainsight con preguntas sobre los ataques de robo de datos relacionados con las aplicaciones de Gainsight, pero no recibió respuesta de inmediato.
