Selon TechCrunch, le collectif de pirates Scattered Lapsus$ Hunters revendique une brèche ayant affecté des données de clients de Salesforce et indique préparer une nouvelle campagne d’extorsion. Vol massif de données Salesforce touchant plus de 200 entreprises

1. Une compromission de supply chain à grande échelle

Google a confirmé que des hackers ont exfiltré les données Salesforce de plus de 200 entreprises, via l’exploitation d’applications de Gainsight, un fournisseur CRM tiers connecté aux instances Salesforce de ses clients.

Salesforce a reconnu une fuite de données « concernant certains clients », mais sans vulnérabilité de sa propre plateforme.
➡️ L’intrusion provient des connecteurs Gainsight compromis.

2. Attribution : Scattered Lapsus$ Hunters revendique l’attaque

Le groupe, composé de ShinyHunters, Scattered Spider et Lapsus$, a pris la responsabilité dans un canal Telegram.

Les hackers affirment avoir ciblé :
Atlassian, CrowdStrike, Docusign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters, Verizon, entre autres.

Les entreprises citées :

  • nient pour l’instant tout impact confirmé,
  • ou annoncent des enquêtes en cours,
  • ou ont coupé toutes les intégrations Gainsight par précaution.

CrowdStrike a révélé avoir licencié un insider suspect ayant transmis des informations aux attaquants.

3. Origine de la compromission : réutilisation de tokens Drift/Salesloft

Les ShinyHunters expliquent avoir compromis Gainsight grâce à une attaque précédente visant Salesloft / Drift, où des tokens d’authentification Salesforce avaient été volés.

Ces tokens ont ensuite permis :

  • l’accès direct aux instances Salesforce des clients,
  • le téléchargement massif de leurs données.

Gainsight reconnaît avoir été victime de cette campagne initiale.

4. Réaction et mesures en cours

  • Salesforce a révoqué tous les tokens Gainsight actifs, coupant immédiatement les intégrations.
  • Gainsight travaille avec Mandiant (Google) pour analyser l’incident.
  • Salesforce notifie progressivement les organisations dont les données ont été volées.
  • Les attaquants annoncent la mise en ligne prochaine d’un site d’extorsion dédié, comme lors de leur campagne précédente (Salesloft incident, octobre 2025).

🛠️ TTPs identifiés

(d’après les informations publiques de l’article ; pas d’IoCs techniques fournis)

Tactiques principales

  • Supply chain compromise : compromission d’un fournisseur (Gainsight) pour atteindre ≥ 200 clients.
  • Vol et réutilisation de tokens OAuth / API liés à Salesforce.
  • Attaques précédentes en rebond via Salesloft / Drift (Marketing AI Chatbot).
  • Social engineering / insider recruitment :
    • Exemple : employé CrowdStrike ayant transmis des données aux attaquants.

Techniques utilisées (MITRE ATT&CK – interprétation)

  • T1556.004 – Forge or Steal Authentication Tokens (OAuth)
  • T1199 – Trust Relationship / Supply Chain Weakness
  • T1078 – Valid Accounts (access via stolen credentials)
  • T1598 – Spearphishing / deception-based initial compromise
  • T1659 – Data Staging & Exfiltration via API
  • T1589 – Collection of employee information for impersonation / recruitment

Aucun indicateur d’infrastructure (IoCs : IP, domaine, hash) n’est fourni dans la source.

Il s’agit d’une annonce d’incident relayée par un média, visant à informer sur une revendication de brèche et une menace d’extorsion imminente.

🔗 Source originale : https://techcrunch.com/2025/11/21/google-says-hackers-stole-data-from-200-companies-following-gainsight-breach/

🖴 Archive : https://web.archive.org/web/20251122120341/https://techcrunch.com/2025/11/21/google-says-hackers-stole-data-from-200-companies-following-gainsight-breach/