Gainsight

A Gainsight, empresa de software de gestão de clientes, anunciou que um ataque cibernético afetou mais clientes do que o inicialmente reportado. A Salesforce, parceira da Gainsight, detectou atividades suspeitas em aplicações publicadas pela Gainsight, levando à revogação de acessos e tokens. O grupo de cibercrime ShinyHunters reivindicou a responsabilidade pelo ataque. Embora a Gainsight não tenha divulgado o número exato de clientes afetados, seu CEO mencionou que apenas alguns tiveram dados comprometidos. Como medida de precaução, empresas como Zendesk e HubSpot suspenderam integrações com a Gainsight. A Gainsight também listou produtos que estão temporariamente sem acesso ao Salesforce, como Customer Success e Community. Para mitigar riscos, a Gainsight recomenda que seus clientes rotacionem chaves de acesso e reautorizem aplicações conectadas. O incidente ocorre em um contexto de crescente atividade de ransomware, com o surgimento de uma nova plataforma chamada ShinySp1d3r, que apresenta características inovadoras e potencializa as ameaças cibernéticas. O ataque destaca a necessidade de vigilância constante e ações proativas para proteger dados sensíveis.

Recentemente, a Salesforce revogou todos os acessos ativos e tokens do aplicativo Gainsight após detectar atividade suspeita que resultou em acesso não autorizado a dados de usuários. Estima-se que até 200 instâncias da Salesforce tenham sido afetadas por uma campanha emergente que comprometeu tokens de autenticação OAuth de terceiros. O grupo hacker ShinyHunters, que já havia atacado outras plataformas, reivindicou a autoria do ataque, afirmando ter roubado dados de quase 1.000 organizações. A Gainsight, um dos aplicativos afetados, já havia sido alvo de um ataque anterior, mas não está claro se os incidentes estão interligados. A Salesforce, por precaução, removeu o Gainsight do AppExchange e revogou conexões com o Zendesk. Embora a empresa não tenha identificado vulnerabilidades em sua plataforma, a situação destaca a importância de monitorar aplicativos de terceiros e a segurança dos tokens de autenticação utilizados.

A Salesforce emitiu um alerta sobre atividades incomuns relacionadas a aplicativos publicados pela Gainsight que estão conectados à sua plataforma. A investigação preliminar sugere que essa atividade pode ter possibilitado o acesso não autorizado a dados de clientes da Salesforce através da conexão com esses aplicativos. Como medida de precaução, a empresa revogou todos os tokens de acesso e atualização associados a esses aplicativos e os removeu temporariamente do AppExchange. Embora a Salesforce não tenha revelado quantos clientes foram afetados, informou que todos foram notificados. A empresa enfatizou que não há indícios de que a vulnerabilidade tenha origem na plataforma Salesforce, mas sim na conexão externa dos aplicativos. O analista Austin Larsen, do Google Threat Intelligence Group, classificou a situação como uma campanha emergente, possivelmente ligada ao grupo de ameaças ShinyHunters, que já havia realizado ataques semelhantes anteriormente. Organizações são aconselhadas a revisar aplicativos de terceiros conectados à Salesforce e a revogar tokens de acesso para aplicações suspeitas.