Công ty phần mềm dựa trên nền tảng đám mây lưu ý, điều này không bắt nguồn từ lỗ hổng trong nền tảng quản lý quan hệ khách hàng (CRM) vì mọi bằng chứng đều chỉ ra hoạt động độc hại có liên quan đến kết nối bên ngoài của ứng dụng với Salesforce.

“Chúng tôi phát hiện hoạt động bất thường liên quan đến các ứng dụng do Gainsight phát hành được kết nối với Salesforce, được khách hàng cài đặt và quản lý trực tiếp. Cuộc điều tra nội bộ cho thấy hoạt động này có thể đã cho phép truy cập trái phép vào dữ liệu Salesforce của một số khách hàng thông qua kết nối của ứng dụng”, công ty cho biết.

Sau khi phát hiện hoạt động này, Salesforce đã thu hồi mọi token truy cập đang hoạt động liên quan đến các ứng dụng do Gainsight cung cấp được kết nối với Salesforce, ngoài ra tạm thời xóa các ứng dụng đó khỏi AppExchange trong khi cuộc điều tra vẫn đang được diễn ra.

Công ty đã cảnh báo tất cả khách hàng bị ảnh hưởng về sự cố này và khuyến cáo những người cần hỗ trợ nên liên hệ với nhóm Trợ giúp của Salesforce. Mặc dù không cung cấp thêm thông tin chi tiết về các cuộc tấn công, nhưng sự cố này tương tự như vụ vi phạm Salesloft vào tháng 8/2025, khi một nhóm tin tặc có tên “Scattered Lapsus$ Hunters” đã đánh cắp thông tin nhạy cảm, bao gồm mật khẩu, khóa truy cập AWS và token Snowflake từ các phiên bản Salesforce của khách hàng, sử dụng token OAuth bị đánh cắp để tích hợp trò chuyện Drift AI của Salesloft với Salesforce.

Nhóm ShinyHunters thời điểm đó thông báo rằng các cuộc tấn công đánh cắp dữ liệu Salesloft đã ảnh hưởng đến khoảng 760 công ty, dẫn đến việc đánh cắp 1,5 tỷ hồ sơ Salesforce.

Các công ty được biết là bị ảnh hưởng trong các cuộc tấn công Salesloft bao gồm Google, Cloudflare, Rubrik, Elastic, Proofpoint, JFrog, Zscaler, Tenable, Palo Alto Networks, CyberArk, BeyondTrust, Nutanix, Qualys và Cato Networks, cùng nhiều công ty và hãng công nghệ khác.

Ngày 20/11, chia sẻ với trang tin BleepingComputer, ShinyHunters tuyên bố họ đã truy cập được vào 285 phiên bản Salesforce khác sau khi xâm phạm Gainsight thông qua các secret bị đánh cắp trong vụ xâm phạm Drift Salesloft.

Gainsight trước đó xác nhận hệ thống bị xâm phạm thông qua token OAuth bị đánh cắp có liên kết với Salesloft Drift, đồng thời cho biết những kẻ tấn công đã truy cập vào thông tin liên hệ của doanh nghiệp, bao gồm họ tên, địa chỉ email doanh nghiệp, số điện thoại, thông tin chi tiết về khu vực/vị trí, thông tin cấp phép và nội dung trường hợp hỗ trợ.