На 23 ноември 2025 г. компанията Gainsight потвърди, че разследва необичайна активност, свързана с приложенията ѝ, интегрирани със Salesforce. Инцидентът отново подчертава опасността от компрометиране на веригата на доставки чрез доверени SaaS решения.

Какво се случи

Сигналът за проблема възникна на 19 ноември, когато Salesforce откри подозрителни API заявки, идващи от IP адреси извън позволените списъци, през приложения на Gainsight, интегрирани със Salesforce.

Понастоящем се предполага, че са засегнати трима клиенти, чиито имена не са разкрити. В отговор Salesforce отмени достъпните токени за приложенията на Gainsight, ограничи функционалността на интеграцията и стартира разследване.

Инцидентът временно наруши работата на няколко услуги на Gainsight, включително Customer Success, Community, Northpass, Skilljar и Staircase, като им попречи да четат и записват данни от Salesforce. Други платформи, като Zendesk, Gong.io и HubSpot, също временно блокираха свързаните CS конектори.

Анализ на заплахата и връзка със стари кампании

Индикациите за компрометирани системи (IoC) показват притеснителни модели: някои IP адреси, участващи в този инцидент, като 109.70.100[.]68 и 109.70.100[.]71, са били използвани през август 2025 г. от финансово мотивирания UNC6040, за да компрометират Salesforce CRM и да извлекат чувствителни данни. Тогава UNC6040 си е сътрудничил с UNC6240, свързан с ShinyHunters, за да изнудва засегнати организации.

Повечето от тези IP адреси са Tor exit nodes или прокси/VPN инфраструктура, използвана при сканиране, brute-force атаки и web експлойти. Това показва, че задкулисните хакери използват споделени анонимни услуги, вместо персонализирана командно-контролна инфраструктура.

Разследването идентифицира и зловреден софтуер като SmokeLoader, Stealc, DCRat и Vidar, който комуникира с тези адреси.

Все още няма потвърдено извличане на данни, нито ясно определен извършител, но разследването продължава.

Урок: рискът от веригата на доставки чрез SaaS интеграции

Инцидентът показва критична уязвимост: ако OAuth токени, API ключове или акаунти на услуги позволяват постоянен достъп до CRM данни, компрометирано приложение може да изложи чувствителна информация на множество платформи.

Въпреки че засега няма доказателства за изтичане на данни, клиентите на Gainsight-Salesforce интеграциите могат да се сблъскат с неоторизиран достъп или злоупотреба с идентификационни данни, докато не се извърши правилна повторна авторизация.

Незабавни действия за засегнатите организации

Критични мерки:

• Отмяна и ротация на OAuth токени и API ключове за Gainsight-Salesforce интеграцията.

• Преглед на логове за аномална API активност или масови експорти на данни.

• Прилагане на IP allowlists за блокиране на известни IoC адреси.

• Използване на условен достъп и проверка на устройствата за свързаните приложения.

• Многофакторна автентикация и нулиране на привилегировани акаунти.

• Изолиране на интеграции с трети страни до потвърждение на безопасна повторна авторизация.

Специфично за Gainsight:

• Ротация на S3 ключове.

• Нулиране на NXT пароли.

• Повторна авторизация на засегнатите интеграции.

• Влизане директно в NXT, докато Salesforce Connected App не е напълно възстановено.

Какво следва

С нарастващото използване на свързани SaaS приложения, сигурността на всяка интеграция става критична. Организациите трябва да:

• Оценят своя екосистема от свързани приложения.

• Внедрят zero-trust принципи за API достъп.

• Поддържат постоянен мониторинг на автентикация и разрешения.

Заключение: дните на „set and forget“ интеграции са отминали – непрекъснатата проверка и наблюдение са ключът към сигурността в свързана корпоративна среда.