Salesforce investigates customer data theft via Gainsight breach

2 minute de lecture

Mis à jour : November 20, 2025

Incident de sécurité chez Salesforce lié à des applications tierces

Salesforce enquête actuellement sur des tentatives de vol de données clients survenues via des applications tierces liées à sa plateforme. L’entreprise a constaté une activité suspecte impliquant des applications publiées par Gainsight, qui se connectent à Salesforce et sont gérées par les clients.

L’incident ne provient pas d’une faille de sécurité au sein de la plateforme CRM de Salesforce elle-même, mais plutôt d’une exploitation de la connexion entre ces applications externes et Salesforce. En réponse, Salesforce a révoqué tous les jetons d’accès et de rafraîchissement actifs associés aux applications Gainsight concernées et les a temporairement retirées de l’AppExchange. Les clients affectés ont été informés.

Ce mode opératoire rappelle la brèche de sécurité de Salesloft en août 2025, où des jetons OAuth volés avaient permis à des acteurs malveillants d’accéder à des données sensibles dans des instances Salesforce. Le groupe d’extorsion ShinyHunters a revendiqué la responsabilité de ces attaques, affirmant avoir accédé à un grand nombre d’instances Salesforce en exploitant des secrets volés lors de la brèche de Salesloft, puis en accédant à Gainsight.

Points Clés :

Cible : Données clients hébergées sur Salesforce.
Vecteur d’attaque : Exploitation de la connexion entre des applications tierces (Gainsight) et la plateforme Salesforce.
Méthode : Accès non autorisé à des données clients via la connexion d’applications tierces.
Contexte : Incident similaire à la brèche de Salesloft, où des jetons OAuth volés ont été utilisés.
Acteurs présumés : ShinyHunters.

Vulnérabilités / Failles exploitées :

Il n’y a pas de CVE spécifique mentionné dans l’article. La vulnérabilité réside dans l’exploitation des mécanismes de connexion (jetons OAuth volés suite à une compromission précédente de Salesloft) permettant un accès non autorisé aux données via des applications tierces connectées. L’article suggère que les secrets volés lors de la brèche de Salesloft ont permis d’accéder à Gainsight, qui a ensuite été utilisé pour accéder aux instances Salesforce.

Recommandations :

Pour Salesforce (mesures prises) :
- Révocation des jetons d’accès et de rafraîchissement liés aux applications Gainsight.
- Retrait temporaire des applications concernées de l’AppExchange.
- Notification des clients impactés.
Pour les clients Salesforce :
- Être vigilant quant aux applications tierces connectées à leur instance Salesforce.
- Contacter le support Salesforce pour toute assistance supplémentaire.
- Surveiller les activités suspectes dans leurs instances.
Implicitement pour les éditeurs d’applications tierces et les clients :
- Sécuriser rigoureusement les jetons d’authentification et les secrets.
- Mettre en place des contrôles d’accès stricts et une surveillance continue des connexions entre applications.
- Répondre rapidement et de manière transparente aux incidents de sécurité touchant leurs produits.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Salesforce investigates customer data theft via Gainsight breach

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast