Il recente incidente di sicurezza che ha coinvolto Gainsight e Salesforce sta attirando molta attenzione nel mondo della sicurezza informatica e del cloud, soprattutto per l’estensione dell’impatto sui clienti. Gainsight ha comunicato che l’attività sospetta rilevata ha coinvolto un numero di clienti superiore a quello inizialmente stimato, anche se il numero esatto rimane non divulgato. Salesforce aveva indicato tre clienti impattati, ma la lista si è poi ampliata, confermando la gravità della situazione.
L’attacco è stato rivendicato dal gruppo cybercriminale ShinyHunters, già noto per altre violazioni di dati. A seguito della scoperta delle attività anomale, Salesforce ha revocato tutti i token di accesso e refresh associati alle applicazioni pubblicate da Gainsight. Altre piattaforme come Zendesk, Gong.io e HubSpot hanno deciso di sospendere temporaneamente le integrazioni con Gainsight, mentre Google ha disabilitato alcuni client OAuth collegati a domini gainsightcloud.
Prodotti coinvolti e azioni intraprese
Gainsight ha fornito un elenco dei propri prodotti per cui la lettura e scrittura dati su Salesforce è stata temporaneamente sospesa, tra cui Customer Success, Community, Northpass, Skilljar e Staircase. Tuttavia, Staircase non sarebbe stato direttamente coinvolto, ma la connessione è stata rimossa a titolo precauzionale.
Salesforce e Gainsight hanno inoltre pubblicato indicatori di compromissione (IoC) relativi all’attacco, come la stringa user agent “Salesforce-Multi-Org-Fetcher/1.0”, già nota in altri contesti malevoli. Le prime attività di ricognizione sono state rilevate il 23 ottobre 2025, da un indirizzo IP specifico, seguite da ulteriori tentativi di accesso non autorizzato nei giorni successivi.
Raccomandazioni per la sicurezza
Per proteggere gli ambienti, Gainsight consiglia di ruotare le chiavi di accesso S3 e di altri connettori come BigQuery, Zuora e Snowflake, accedere direttamente a Gainsight NXT, resettare le password per gli utenti non SSO e ri-autorizzare tutte le integrazioni che utilizzano credenziali o token.
Contesto della minaccia
Questo episodio si inserisce nel contesto di una crescente minaccia rappresentata dalle piattaforme ransomware-as-a-service (RaaS) come ShinySp1d3r, sviluppata da gruppi come Scattered Spider, LAPSUS$ e ShinyHunters. ShinySp1d3r si distingue per l’uso di tecniche avanzate, tra cui l’offuscamento dei log di Windows, la chiusura di processi che impedirebbero la cifratura dei dati e il riempimento dello spazio libero su disco con dati casuali per ostacolare il recupero dei file cancellati.
Il rischio per le aziende che utilizzano servizi cloud integrati è sempre più elevato, soprattutto quando cybercriminali evolvono rapidamente le loro tecniche e collaborano in alleanze come quella tra ShinyHunters e altri gruppi. La raccomandazione è di adottare misure preventive e monitorare costantemente eventuali indicatori di compromissione per proteggere i dati sensibili.