Les attaquants ont exploité les secrets volés pour détourner les intégrations et accéder aux données des clients, soulignant ainsi la nécessité pour les entreprises d’auditer les applications connectées et d’appliquer l’hygiène des jetons.
Salesforce a révélé un autre incident de sécurité impliquant un accès non autorisé aux données client via des applications tierces compromises, impliquant cette fois des applications publiées par Gainsight et connectées à sa plate-forme via des intégrations OAuth.
L’entreprise a souligné que le problème ne provenait pas de sa plateforme. « Rien n’indique que ce problème résulte d’une vulnérabilité de la plateforme Salesforce », a ajouté le porte-parole. « L’activité semble être liée à la connexion externe de l’application à Salesforce. »
Gainsight engage Mandiant pour une enquête médico-légale
Gainsight a confirmé l’incident dans les mises à jour de la page d’état, déclarant avoir engagé Mandiant, une société de cybersécurité appartenant à Google Cloud, pour l’aider dans une enquête médico-légale complète.
« Nos conclusions actuelles indiquent que l’activité faisant l’objet de l’enquête provenait de la connexion externe des applications, et non d’un problème ou d’une vulnérabilité au sein de la plateforme Salesforce », a déclaré la société dans une mise à jour jeudi.
L’éditeur de logiciels de réussite client a reconnu que l’accès à Gainsight via Salesforce restait indisponible. Par mesure de précaution, Gainsight a également révélé que son accès au connecteur Zendesk avait été révoqué et que son application avait été temporairement retirée de HubSpot Marketplace.
Les renseignements sur les menaces de Google associent l’attaque à ShinyHunters
Cette divulgation marque le dernier chapitre d’une série croissante d’attaques ciblant les jetons OAuth d’intégrations SaaS tierces de confiance avec Salesforce. Selon Austin Larsen, analyste principal des menaces chez Google Threat Intelligence Group, la campagne est liée aux acteurs malveillants associés à ShinyHunters. Ce groupe d’extorsion notoire a ciblé à plusieurs reprises l’écosystème Salesforce au cours des derniers mois.
« Notre équipe de Google Threat Intelligence Group a observé des acteurs malveillants, liés à ShinyHunters, compromettre les jetons OAuth tiers pour potentiellement obtenir un accès non autorisé aux instances des clients Salesforce », a déclaré Larsen dans un article sur LinkedIn. « Salesforce et Mandiant informent activement les organisations potentiellement concernées. »
Larsen a noté que l’incident reflète la récente campagne ciblant Salesloft Drift, où des adversaires ont exploité des jetons OAuth d’intégrations SaaS légitimes pour contourner les contrôles de sécurité traditionnels.
Selon DataBreaches.net, ShinyHunters a confirmé son implication dans la campagne Gainsight et affirme que les campagnes combinées Salesloft et Gainsight ont touché près de 1 000 organisations, parmi lesquelles Verizon, GitLab, F5 et SonicWall.
Cependant, ni Salesforce ni Gainsight n’ont attribué cet incident à ShinyHunters.
La violation du mois d’août a permis une attaque en cascade
Le lien technique entre l’incident actuel et la violation du mois d’août est devenu plus clair grâce à l’analyse de Nudge Security, une plateforme de sécurité SaaS. Selon l’alerte de sécurité de Nudge Security, ShinyHunters a obtenu des jetons Gainsight OAuth grâce à des secrets volés dans les données des dossiers d’assistance Salesloft/Drift. À l’aide de ces jetons compromis, les attaquants auraient émis des jetons d’actualisation pour jusqu’à 285 instances Salesforce liées à Gainsight.
La faille Salesloft Drift en août a exposé environ 760 entreprises au vol de données, les attaquants volant des jetons OAuth et les utilisant pour accéder aux instances Salesforce de centaines d’organisations. Les victimes comprenaient de grandes entreprises telles que Google, Cloudflare, Qantas, Cisco et TransUnion. Gainsight lui-même faisait partie des victimes de cette campagne précédente.
Risques liés à la chaîne d’approvisionnement dans les intégrations SaaS
Gainsight, une plateforme de réussite client largement déployée parmi les entreprises clientes Salesforce, fournit des outils qui s’intègrent directement à Salesforce pour synchroniser les données client et automatiser les flux de travail d’engagement. Ces intégrations nécessitent généralement un accès OAuth aux informations de compte, aux enregistrements de contacts, aux données d’opportunité et aux mesures d’utilisation pour l’évaluation de l’état de santé et l’analyse de la rétention.
L’incident souligne le risque croissant posé par la chaîne d’approvisionnement des intégrations SaaS, où un seul fournisseur compromis peut servir de passerelle vers des dizaines d’environnements en aval.
Pour les RSSI et les équipes de sécurité, Larsen a souligné la nécessité d’une action immédiate au-delà du simple incident Gainsight. « Toutes les organisations devraient considérer cela comme un signal pour auditer leurs environnements SaaS », a-t-il déclaré, recommandant aux équipes de sécurité d’examiner régulièrement toutes les applications tierces connectées aux instances Salesforce, d’enquêter et de révoquer les jetons pour les applications inutilisées ou suspectes, et d’assumer une compromission si une activité anormale est détectée.
Les attaques s’avèrent efficaces car les jetons OAuth fonctionnent sous les couches d’authentification traditionnelles, selon Sanchit Vir Gogia, analyste en chef et PDG de Greyhound Research. « La compromission des jetons OAuth est l’un des vecteurs d’attaque les plus dangereux de l’écosystème SaaS moderne, car elle abuse de la confiance plutôt que de briser les défenses », a déclaré Gogia. « Une fois qu’un attaquant acquiert un jeton, il a la possibilité d’usurper l’identité d’une application ou d’un utilisateur légitime au niveau de la couche API, là où la plupart des entreprises ont le moins de couverture de surveillance. »
La plupart des jetons OAuth ont une durée de vie longue, souvent sans expiration, et comportent des autorisations plus larges que ce que les administrateurs pensent, a noté Gogia. « Étant donné que ces jetons fonctionnent comme une infrastructure plutôt que comme des comptes d’utilisateurs surveillés, les compromissions permettent une exfiltration silencieuse de données de grande valeur sur de longues périodes. Les attaques ne se comportent pas comme des intrusions classiques mais fonctionnent plutôt avec une légitimité héritée, ce qui les rend particulièrement difficiles à détecter. «
Cet incident fait suite à une série d’événements de sécurité liés à Salesforce tout au long de l’année 2025, notamment une vulnérabilité d’agent IA en septembre qui pourrait être exploitée via des attaques par injection rapide, et des risques de configuration découverts dans Salesforce Industry Cloud qui pourraient exposer des informations client cryptées. En octobre, ShinyHunters a lancé un site dédié aux fuites de données pour tenter d’extorquer à Salesforce et à ses clients les données volées lors de campagnes précédentes.
