Aanvallers hebben de gegevens van tweehonderd Salesforce-klanten weten te stelen via applicaties van Gainsight, zo laat Google tegenover TechCrunch weten. Daarnaast heeft het techbedrijf aanvullende informatie over deze aanvallen gegeven en wat organisaties kunnen doen met hun API keys, OAuth tokens, service accounts en access keys.

Salesforce biedt een veelgebruikt customer relationship management (CRM), waarin bedrijven allerlei informatie over bestaande en potentiële klanten kunnen opslaan. Gainsight is leverancier van een "customer success platform" dat gegevens van klanten uit allerlei systemen verzamelt, waaronder systemen zoals Salesforce. Via een koppeling tussen de Gainsight-applicaties en Salesforce kan data uit het CRM-systeem binnen de Gainsight-omgeving beschikbaar komen.

Aanvallers hebben via deze koppeling bij allerlei organisaties gegevens uit hun Salesforce-systeem weten te stelen. De aanval is opgeëist door een groep die zichzelf Scattered Lapsus$ Hunters noemt. De aanvallers stellen tegenover TechCrunch dat ze via een eerdere aanval op Salesloft Drift toegang tot Gainsight hebben gekregen. Salesloft biedt een chatbot genaamd Drift die informatie kan verzamelen en beschikbaar maken in Salesforce. Voor de koppeling tussen Drift en Salesforce wordt gebruikgemaakt van tokens.

Aanvallers wisten deze tokens te stelen en konden zo toegang tot de Salesforce-omgevingen van allerlei organisaties krijgen, om daar vervolgens grote hoeveelheden data te stelen. Gainsight was één van de organisaties die bij deze aanval werd getroffen. De aanvallers zeggen dat ze binnenkort een website online brengen waarin de getroffen organisaties worden genoemd. Ze eisen losgeld van deze bedrijven en dreigen anders de gestolen data openbaar te maken.

Na ontdekking van de activiteit heeft Salesforce alle tokens waarmee Gainsight-applicaties toegang tot Salesforce-systemen krijgen ingetrokken en de door Gainsight gepubliceerde applicaties van de Salesforce AppExchange verwijderd. Via de AppExchange worden allerlei applicaties voor Salesforce-omgevingen aangeboden. Tevens zegt Salesforce dat het alle tot nu toe bekende, getroffen klanten heeft gewaarschuwd.

Google publiceerde eerder informatie over de groep aanvallers en heeft nu aanvullende informatie gegeven voor het beveiligen van Salesforce-omgevingen gegeven, waaronder advies voor hardening, logging en detectie van credentials zoals API keys, OAuth tokens, service accounts en access keys.