ShinyHunters cerca impiegati infedeli mentre il caso Gainsight Salesforce si estende

Redazione RHC : 24 Novembre 2025 16:08

La crescente fuga di dati dall’ecosistema Salesforce ha preso una nuova piega dopo che il gruppo ShinyHunters ha annunciato il suo coinvolgimento nell’incidente. Gli eventi sono in corso da diversi mesi, interessando diversi servizi correlati alle piattaforme CRM, e la portata dell’impatto continua a crescere.

ShinyHunters afferma di aver ottenuto l’accesso a Gainsight diversi mesi fa, sfruttando le funzionalità acquisite tramite un hack dell’integrazione di Salesloft Drift. All’epoca, individui sconosciuti si erano infiltrati nell’account GitHub di Salesloft ed estraevano i token OAuth utilizzati dal servizio di terze parti Drift con Salesforce. Questi token hanno permesso loro di accedere furtivamente ai dati di un gran numero di clienti aziendali.

Secondo quanto riferito, la stessa campagna ha compromesso anche Gainsight. Questo servizio opera come piattaforma di gestione dei processi dei clienti ed è connesso a Salesforce, HubSpot e sistemi di supporto come Zendesk.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

L’incidente ha spinto l’azienda a contattare gli specialisti di Google Mandiant per indagare sulla natura dell’attività e sull’origine del problema. Gainsight sostiene che l’attività indesiderata si sia verificata tramite connessioni ad applicazioni esterne, non a causa di un bug nella piattaforma Salesforce stessa.

In risposta, Salesforce ha revocato tutte le chiavi di accesso attive per le app Gainsight e le ha temporaneamente rimosse da AppExchange. Zendesk e HubSpot hanno adottato misure simili, limitando la funzionalità dei rispettivi connettori in attesa di una revisione interna. I rappresentanti di Salesforce hanno rifiutato di commentare nei dettagli, ma hanno sottolineato che le misure sono state adottate immediatamente.

Secondo il Google Threat Intelligence Group, l’attacco è collegato al gruppo UNC6240, noto anche come ShinyHunters. L’azienda ha identificato oltre duecento istanze Salesforce interessate. Si ritiene che la fonte della compromissione siano i token OAuth rubati, che hanno consentito agli aggressori di accedere a servizi di terze parti e alle relative integrazioni.

I membri di ShinyHunters affermano di aver verificato il livello di monitoraggio nei sistemi di Gainsight e che l’attività illegale è stata rilevata circa una o due settimane dopo l’inizio delle intrusioni. Il gruppo afferma inoltre di cercare complici all’interno di grandi aziende. Salesforce aveva precedentemente dichiarato che non avrebbe acconsentito alle richieste degli estorsori e non avrebbe negoziato.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli