Salesforce Selidiki Pencurian Data Pelanggan Melalui Pelanggaran Gainsight
Salesforce mengonfirmasi bahwa perusahaan sedang menyelidiki serangkaian serangan pencurian data yang memanfaatkan koneksi aplikasi Gainsight ke platform Salesforce. Sebagai langkah awal pengamanan, Salesforce mencabut seluruh refresh token yang terhubung ke aplikasi Gainsight dan menarik aplikasi terkait dari AppExchange.
Dalam pemberitahuannya, Salesforce menegaskan bahwa insiden ini tidak berasal dari kerentanan pada platform CRM inti miliknya. Aktivitas mencurigakan yang ditemukan mengarah pada akses tidak sah melalui koneksi eksternal yang dibuat oleh aplikasi Gainsight yang diinstal dan dikelola langsung oleh pelanggan.
Salesforce juga memastikan bahwa semua pelanggan terdampak telah menerima pemberitahuan, dan mereka yang memerlukan bantuan tambahan diminta untuk menghubungi tim dukungan resmi perusahaan. Hingga kini, detail teknis mengenai serangan masih terbatas, namun pola kejadian menunjukkan kemiripan dengan insiden besar pada Agustus 2025 yang menimpa Salesloft.
Dalam serangan tersebut, kelompok pemeras “Scattered Lapsus$ Hunters” berhasil mencuri data sensitif seperti kata sandi, kunci akses AWS, dan token Snowflake dari ratusan perusahaan. Akses tersebut diperoleh menggunakan token OAuth yang terhubung ke integrasi AI chat Drift milik Salesloft pada Salesforce. Kelompok ShinyHunters bahkan mengklaim bahwa serangan itu berdampak pada sekitar 760 perusahaan dan mengakibatkan pencurian lebih dari 1,5 miliar data Salesforce.
Nama perusahaan besar seperti Google, Cloudflare, Proofpoint, Elastic, Zscaler, Tenable, dan banyak lainnya diketahui menjadi korban dalam insiden tersebut. Kini, ShinyHunters kembali mengklaim kepada BleepingComputer bahwa mereka berhasil mengakses 285 instance Salesforce tambahan melalui kebocoran rahasia yang didapat dari pelanggaran Salesloft sebelumnya.
Gainsight sebelumnya mengonfirmasi bahwa mereka terkena kompromi yang melibatkan token OAuth terkait layanan Salesloft Drift, yang menyebabkan pelaku memperoleh akses ke detail kontak bisnis seperti nama, alamat email, nomor telepon, lokasi, informasi lisensi, hingga data dukungan pelanggan.
Ketika dihubungi untuk konfirmasi lebih lanjut mengenai aksi pencurian data terbaru yang terjadi melalui aplikasi Gainsight, perusahaan belum memberikan tanggapan. Sementara itu, Palo Alto Networks menyampaikan klarifikasi bahwa mereka tidak terdampak insiden ini setelah melakukan investigasi internal dan mendapat verifikasi langsung dari Salesforce.
Insiden ini menunjukkan bagaimana rantai pasokan (supply chain) di ekosistem SaaS dapat menjadi titik lemah signifikan, khususnya ketika aplikasi pihak ketiga memiliki akses terintegrasi yang luas ke data perusahaan. Salesforce masih melanjutkan penyelidikan untuk memastikan cakupan penuh dampak dan langkah mitigasi yang diperlukan.
