A Salesforce alertou sobre uma atividade “incomum” relacionada a aplicativos publicados pela Gainsight, que estão conectados à sua plataforma. A investigação da empresa sugere que essa atividade pode ter permitido acesso não autorizado a dados de alguns clientes por meio da conexão dos aplicativos. Como medida preventiva, a Salesforce revogou todos os tokens de acesso e atualização ativos associados aos aplicativos da Gainsight e os removeu temporariamente do AppExchange enquanto a investigação prossegue.
A Salesforce não revelou quantos clientes foram afetados, mas afirmou que todos foram notificados. A empresa destacou que não há evidências de que a questão tenha surgido de uma vulnerabilidade em sua plataforma, mas sim da conexão externa dos aplicativos com o Salesforce. Além disso, a Gainsight retirou temporariamente o aplicativo do HubSpot Marketplace e revogou o acesso ao conector Zendesk, embora não tenha sido observada atividade suspeita relacionada ao HubSpot até o momento.
Austin Larsen, analista de ameaças do Google Threat Intelligence Group, descreveu o incidente como uma “campanha emergente” que visa aplicativos da Gainsight conectados ao Salesforce, comprometendo tokens OAuth de terceiros para acessar dados de forma não autorizada. A atividade foi atribuída ao grupo de ameaças ShinyHunters, que já havia realizado ataques semelhantes a instâncias do Salesloft Drift em agosto. O grupo confirmou que a campanha é de sua autoria e que os ataques permitiram o roubo de dados de cerca de 1000 organizações.
Com base na atividade maliciosa, as organizações são aconselhadas a revisar todos os aplicativos de terceiros conectados ao Salesforce, revogar tokens de aplicativos não utilizados ou suspeitos e atualizar credenciais caso sejam detectadas anomalias em uma integração.
Fonte:https://thehackernews.com/2025/11/salesforce-flags-unauthorized-data.html
