23 listopada 2025 roku Gainsight potwierdził, że prowadzi dochodzenie w sprawie nietypowej aktywności związanej z aplikacjami zintegrowanymi z Salesforce. Wcześniej, 19 listopada, Salesforce wykrył podejrzane wywołania API – pochodziły one z adresów IP, które nie znajdowały się na liście dozwolonych (non-allowlisted), a dotyczyły aplikacji powiązanych z Gainsight. Trzy firmy (na razie nieujawnione) są podejrzewane o bezpośredni wpływ. W odpowiedzi Salesforce natychmiast cofnął tokeny dostępu i ograniczył funkcjonalność integracji.

Autor: 4 min czytania

W wyniku incydentu przestały działać (przynajmniej tymczasowo) istotne usługi zależne od integracji Salesforce–Gainsight, m.in. Customer Success, funkcje community, moduły szkoleniowe i inne. Również integracje z platformami zewnętrznymi takimi jak Zendesk, HubSpot czy Gong.io zostały zapobiegawczo wyłączone.

Na czym polegał atak – zagrożenie płynące z integracji SaaS

Analiza wskazuje, że atak nie polegał na wykorzystaniu błędu w Salesforce ani w samym Gainsight, lecz na nadużyciu mechanizmu autoryzacji: skompromitowane tokeny OAuth / tokeny dostępu do API zostały użyte do wykonania nieautoryzowanych wywołań.

Adresy IP powiązane z atakiem to między innymi węzły wyjściowe Tor oraz instancje proxy/VPN – infrastruktura typu commodity wcześniej wykorzystywana w innych kampaniach, co sugeruje, że przestępcy próbowali ukryć swój rzeczywisty punkt startu.

Dodatkowo – co charakterystyczne – atak przypomina wcześniejszą kampanię (sierpień 2025) przeciw aplikacjom zintegrowanym z Salesforce. Wskazuje to pewien trend – atakujący coraz częściej wybierają ścieżki integracyjne SaaS jako łatwe punkty wejścia.

Skala i możliwe skutki – ile organizacji może być dotkniętych

Choć początkowo mówiono o trzech klientach jako potencjalnie dotkniętych, kolejne doniesienia – w tym od zespołu analitycznego Google Threat Intelligence Group – wskazują, że mogły zostać naruszone dane nawet ponad 200 instancji Salesforce.

Oznacza to, że konsekwencje nie ograniczają się do pojedynczych firm – wpływ może być szeroki i obejmować wiele sektorów oraz organizacji.

Warto też podkreślić, że mimo działań naprawczych (którymi zajęły się już Gainsight i Salesforce), dokładny zakres wykradzionych lub eksfiltrowanych danych nie został jeszcze publicznie potwierdzony. Dochodzenie trwa.

Co powinny zrobić działy bezpieczeństwa

Jeśli twoja organizacja korzysta z integracji Salesforce ⇄ Gainsight (lub podobnych integracji SaaS), warto natychmiast podjąć następujące kroki:

  • Odwołać wszystkie aktywne i odświeżające tokeny OAuth/API związane z aplikacjami Gainsight.
  • Przeanalizować logi Salesforce i Gainsight w poszukiwaniu niespodziewanego ruchu API, nietypowych adresów IP lub masowych operacji eksportu danych.
  • Wprowadzić listy dozwolonych (allow-list) adresów IP, filtrowanie po źródłach, a także ograniczyć uprawnienia aplikacji do minimum – zasada least privilege.
  • Weryfikować i reautoryzować integracje, resetować hasła, klucze (np. do S3, jeżeli są używane), a w razie potrzeby tymczasowo izolować lub wstrzymać integracje.
  • Monitorować dalsze komunikaty od dostawców oraz analizować wskaźniki kompromitacji (IoC), jeśli zostaną opublikowane.

Szerszy kontekst

Incydent ten stanowi wyraźne przypomnienie, że w dobie chmur i integracji SaaS klasyczne podejście bezpieczeństwa („zabezpiecz samą platformę i system operacyjny”) nie wystarczy. Zintegrowane aplikacje zewnętrznych dostawców mogą być furtką – jeśli którykolwiek segment łańcucha zostanie przejęty lub skonfigurowany niewłaściwie, realne staje się ryzyko kompromitacji całej infrastruktury.

Set-and-forget, czyli konfiguracja integracji „na raz” już dziś nie wystarcza. Wymagana jest stała weryfikacja dostawców, audyty integracji, regularne rotacje tokenów i kluczy oraz ścisły monitoring działań API i uprawnień.