Um incidente envolvendo a plataforma Gainsight comprometeu dados de mais de 200 empresas que utilizam Salesforce, segundo novas informações reveladas por analistas de segurança. A falha não decorre diretamente da infraestrutura da Salesforce, mas sim de aplicativos de terceiros desenvolvidos pela Gainsight e integrados ao ecossistema da empresa.
A Salesforce detectou atividades incomuns originadas de suas integrações com a Gainsight e agiu rapidamente, revogando tokens de autenticação usados pelos aplicativos e removendo temporariamente as extensões afetadas da AppExchange, sua loja oficial de apps. A medida foi preventiva, diante da suspeita de que invasores pudessem estar utilizando tokens OAuth comprometidos para acessar dados de clientes, sem a necessidade de login ou senha. Embora a Gainsight tenha inicialmente afirmado que apenas um número limitado de clientes foi impactado, investigações conduzidas pelo Google Threat Intelligence Group (GTIG) e outros especialistas apontam um escopo bem maior: ao menos 200 instâncias do Salesforce teriam sido acessadas de forma não autorizada. As empresas afetadas não foram divulgadas publicamente até o momento.
A tática usada pelos invasores, atribuídos ao grupo ShinyHunters, consistia em explorar permissões previamente concedidas às aplicações da Gainsight para extrair dados comerciais, como nomes de clientes, e-mails, registros de suporte e informações contratuais. Ainda que os dados roubados variem por organização, os pesquisadores alertam que essas informações são valiosas para campanhas de engenharia social, phishing ou fraudes direcionadas.
