A Salesforce divulgou um incidente de segurança significativo envolvendo acesso não autorizado a dados de clientes por meio de aplicativos comprometidos publicados pela Gainsight.
A violação, detectada em meados de novembro de 2025, expôs potencialmente informações confidenciais de mais de 200 organizações que usam a plataforma de sucesso do cliente integrada ao Salesforce.
Atores de ameaças ligados ao notório Caçadores Brilhantes grupo explorou tokens OAuth para obter acesso não autorizado a instâncias de clientes do Salesforce por meio de conexões de aplicativos de terceiros.
Salesforce desativa integração do Gainsight após detectar atividades incomuns
Em 20 de novembro de 2025, a Salesforce tomou medidas imediatas ao desabilitar todas as conexões entre os aplicativos publicados pela Gainsight e a plataforma Salesforce.
A equipe de segurança da empresa identificou atividades suspeitas que permitiram acesso não autorizado a dados Salesforce de clientes específicos por meio da conexão externa do aplicativo.
A Salesforce enfatizou que o problema não resultou de nenhuma vulnerabilidade na plataforma Salesforce, mas sim de tokens OAuth comprometidos usados pela integração de terceiros.
O investigação revelou que os invasores iniciaram atividades de reconhecimento já em 23 de outubro de 2025, e que intensas tentativas de acesso não autorizado ocorreram entre 16 e 19 de novembro de 2025.
Os clientes não poderão reconectar seus aplicativos publicados pela Gainsight até que a Salesforce determine que é seguro restaurar o serviço.
A empresa já tomou medidas para revogar os tokens afetados e remover aplicativos comprometidos do mercado AppExchange.
Pesquisadores de segurança de Grupo de inteligência de ameaças do Google e a Mandiant têm trabalhado junto com a Salesforce para rastrear os atores da ameaça por trás desta campanha.
Os invasores empregaram técnicas sofisticadas para ocultar suas atividades, roteando o tráfego por meio de vários serviços VPN, incluindo redes Mullvad, Surfshark, Proton e Tor.
A Salesforce identificou 15 endereços IP distintos associados a tentativas de acesso não autorizado, juntamente com sequências de agentes de usuário incomuns, como “python-requests/2.28.1” e “Salesforce-Multi-Org-Fetcher/1.0” que não são usadas por aplicativos legítimos da Gainsight.
Os invasores utilizaram vários serviços de proxy, incluindo IProxyShop, ProxySeller e NSocks, para mascarar sua origem e evitar a detecção.
Um dos primeiros indicadores apareceu em 23 de outubro de 2025, por meio de um endereço IP da AWS conduzindo reconhecimento contra clientes com tokens de acesso Gainsight comprometidos.
Os atores da ameaça demonstraram consciência de segurança operacional alternando entre diferentes provedores de VPN e serviços de proxy ao longo de sua campanha.
Este incidente reflete um padrão de ataque semelhante observado recentemente visando integrações do Salesloft Drift, sugerindo que os adversários estão explorando cada vez mais integrações SaaS confiáveis de terceiros.
A conexão ShinyHunters aumenta a preocupação, já que este grupo de ameaças esteve envolvido em vários ataques de alto perfil. violações de dados visando grandes empresas de tecnologia.
A Salesforce e o Google recomendam que todas as organizações que usam plataformas SaaS baseadas em nuvem auditem imediatamente seus aplicativos conectados e revisem as permissões de token OAuth.
As empresas devem investigar e revogar tokens para integrações não utilizadas ou suspeitas e implementar monitoramento contínuo para detectar atividades anômalas.
Indicadores de compromisso
| Tipo COI | Valor | Visto pela primeira vez | Visto pela última vez | Atividade |
|---|---|---|---|---|
| Endereço IP | 104.3.11.1 | 08/11/2025 | 08/11/2025 | Reconhecimento IP da AT&T |
| Endereço IP | 198.54.135.148 | 16/11/2025 | 16/11/2025 | Proxy VPN Mullvad |
| Endereço IP | 198.54.135.197 | 16/11/2025 | 16/11/2025 | Proxy VPN Mullvad |
| Endereço IP | 198.54.135.205 | 18/11/2025 | 18/11/2025 | Proxy VPN Mullvad |
| Endereço IP | 146.70.171.216 | 18/11/2025 | 18/11/2025 | Proxy VPN Mullvad |
| Endereço IP | 169.150.203.245 | 18/11/2025 | 18/11/2025 | Proxy VPN Surfshark |
| Endereço IP | 172.113.237.48 | 18/11/2025 | 18/11/2025 | Proxy VPN NSocks |
| Endereço IP | 45.149.173.227 | 18/11/2025 | 18/11/2025 | Proxy VPN Surfshark |
| Endereço IP | 135.134.96.76 | 19/11/2025 | 19/11/2025 | Proxy VPN IProxyShop |
| Endereço IP | 65.195.111.21 | 19/11/2025 | 19/11/2025 | Proxy VPN IProxyShop |
| Endereço IP | 65.195.105.81 | 19/11/2025 | 19/11/2025 | Proxy VPN Nexx |
| Endereço IP | 65.195.105.153 | 19/11/2025 | 19/11/2025 | Proxy VPN ProxySeller |
| Endereço IP | 45.66.35.35 | 19/11/2025 | 19/11/2025 | Proxy VPNTor |
| Endereço IP | 146.70.174.69 | 19/11/2025 | 19/11/2025 | Proxy VPN Proton |
| Endereço IP | 82.163.174.83 | 19/11/2025 | 19/11/2025 | Proxy VPN ProxySeller |
| Endereço IP | 3.239.45.43 | 23/10/2025 | 23/10/2025 | Reconhecimento de IP AWS |
| Agente do usuário | solicitações python/2.28.1 | 08/11/2025 | 08/11/2025 | Agente de usuário inesperado |
| Agente do usuário | solicitações python/2.32.3 | 16/11/2025 | 16/11/2025 | Agente de usuário inesperado |
| Agente do usuário | python/3.11 aiohttp/3.13.1 | 23/10/2025 | 23/10/2025 | Agente de usuário inesperado |
| Agente do usuário | Salesforce-Multi-Org-Fetcher/1.0 | 18/11/2025 | 19/11/2025 | Ferramenta de ator de ameaças |
As organizações potencialmente afetadas devem esperar notificação direta da Salesforce e da Mandiant e monitorar os avisos de segurança oficiais para atualizações contínuas.
Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial em Google.