Salesforce, devam eden Salesforce Gainsight güvenlik olayıyla ilgili yeni bir güncelleme yayınlayarak, CRM platformuna bağlı Gainsight tarafından yayınlanan uygulamalarda tespit edilen olağandışı etkinlikle ilgili ek ayrıntıları doğruladı.
Şirket, olayın Salesforce çekirdek platformundaki herhangi bir güvenlik açığından ziyade uygulamanın Salesforce ile harici entegrasyonundan kaynaklandığını yineledi.
Salesforce Genişletilmiş Soruşturmayı Doğruladı
Salesforce, en son tavsiyesinde, Gainsight uygulamalarını etkileyen olağandışı etkinliğin, uygulama-Salesforce bağlantısı aracılığıyla belirli müşterilerin Salesforce verilerine yetkisiz erişime olanak vermiş olabileceğini belirtti. Salesforce, ihtiyati tedbirlerinin bir parçası olarak, Gainsight tarafından yayınlanan uygulamalarla ilişkili tüm aktif erişimi ve yenileme OAuth belirteçlerini iptal etti ve uygulamaları AppExchange’inden kaldırdı.
İlk iletişimde etkilenen yalnızca üç müşteri yer alırken, Salesforce 21 Kasım’da listenin genişletildiğini ve etkilenen yeni tespit edilen tüm müşterilerin doğrudan bilgilendirildiğini doğruladı. Salesforce, daha geniş bir soruşturmanın sürdüğünü ve resmi Yardım portalında güncellemeler sağlamaya devam ettiğini vurguladı.
Gainsight Ürünleri ve Konnektörleri Geçici Olarak Etkilendi
Gainsight’ın son iletişimine göre Gainsight CS, Community (CC), Northpass (CE), Skilljar (SJ) ve Staircase (ST) dahil olmak üzere birçok ürünü Salesforce’un ihtiyati bağlantı kesintisinden etkilendi. Ürünler çalışır durumda kalsa da şu anda Salesforce’a veri okuyamıyor veya yazamıyor.
Ek olarak, Gainsight ile entegre olan Gong.io, Zendesk ve HubSpot gibi çeşitli üçüncü taraf konektörler, çok dikkatli olunması nedeniyle ilgili satıcıları tarafından geçici olarak devre dışı bırakıldı. Gainsight, müşterilerini, güvenli günlük alma sürecinin bir parçası olarak 20 Kasım 2025’ten bu yana yapmamışlarsa S3 anahtarlarını döndürmeye çağırdı.
Salesforce Platformu Güvenlik Açığı Göstergesi Yok
Salesforce, sorunun Salesforce platformundaki bir kusurdan kaynaklandığını gösteren hiçbir kanıt bulunmadığını yineledi. Bunun yerine etkinlik, Gainsight uygulamaları ile Salesforce ortamları arasındaki harici OAuth tabanlı bağlantıya bağlı görünüyor. Salesforce, OAuth belirteçleri iptal edilirken geçmiş denetim izlerinin ve günlüklerin sağlam kaldığını ve tam müşteri odaklı soruşturma çabalarına olanak sağladığını doğruladı.
Şirket ayrıca müşterilerini Kurulum Denetim Takibi, Olay İzleme günlükleri ve API etkinlik kayıtlarını kullanarak kapsamlı günlük incelemeleri yapmaya şiddetle teşvik etti. Salesforce, müşterilere potansiyel tehlike göstergelerini değerlendirme konusunda destek olmak için Salesforce Günlük Analizi Kılavuzu’na başvurdu.
Uzlaşma Göstergeleri Yayınlandı
Şeffaflık çabalarının bir parçası olarak Salesforce, tehdit faaliyetiyle ilişkili Tehlike Göstergelerinin (IOC’ler) bir listesini paylaştı. Bunlar arasında python-requests/2.32.3 ve Salesforce-Multi-Org-Fetcher/1.0 gibi çeşitli kullanıcı aracıları ve şüpheli erişim girişimlerine bağlı düzinelerce IP adresi yer alıyor. Gainsight, Salesforce’un tavsiyelerini yineledi ve bağımsız araştırmacıların desteğiyle kendi adli incelemesini yürütüyor.
Her iki kuruluş da Salesforce Gainsight güvenlik olayının aktif soruşturma altında olduğunu doğruladı. Gainsight ayrıntılı bir zaman çizelgesi yayınladı ve tam etkiyi belirlemek için Salesforce ile koordinasyonu sürdürüyor. Yardım arayan müşteriler daha fazla güncelleme için Salesforce Yardım ve Gainsight Desteğine yönlendirildi.