Selon The Register, Salesforce a signalé une nouvelle compromission impliquant des applications publiées par Gainsight et connectées à des instances clients Salesforce, avec une attribution probable au groupe ShinyHunters (UNC6240) évoquée par Google Threat Intelligence Group.
Salesforce indique que l’activité suspecte « a pu permettre un accès non autorisé » à certaines données clients via la connexion des applications Gainsight. En réponse, l’éditeur a révoqué tous les tokens d’accès et de rafraîchissement associés à ces applications et les a temporairement retirées de l’AppExchange pendant l’enquête. Salesforce précise ne voir « aucune indication » d’une vulnérabilité de sa plateforme, l’activité étant liée à la connexion externe de l’app.
Austin Larsen (Google Threat Intelligence Group) signale que plus de 200 instances Salesforce pourraient être concernées et attribue l’activité à ShinyHunters/UNC6240. Mandiant (Google) collabore avec Salesforce pour notifier les organisations potentiellement affectées. Gainsight n’a pas répondu aux demandes de commentaire citées par The Register.
Contexte et précédent: The Register rappelle que le même acteur a déjà compromis des tokens OAuth d’applications tierces, notamment via l’application Drift de SalesLoft plus tôt cette année, facilitant l’accès à de multiples instances Salesforce.
Type d’article: article de presse spécialisé visant à informer sur un incident de sécurité tiers touchant l’écosystème Salesforce et les mesures de mitigation en cours.
🔗 Source originale : https://www.theregister.com/2025/11/20/salesforce_gainsight_breach