Gainsight tarafından yayınlanan uygulamaların yakın zamanda ele geçirilmesinden etkilenen Salesforce müşterilerinin sayısı henüz kamuya açıklanmadı ancak Salesforce, tehlike göstergelerini (IoC’ler) yayınladı ve aynı zamanda saldırının muhtemelen ne zaman başlayacağına ışık tuttu.
Sağlanan liste, ilk keşif ve yetkisiz erişim faaliyetinin 8 Kasım’da başladığını gösteren IP adreslerini ve Kullanıcı Aracılarını içeriyor.
Şüpheli izinsiz girişlerin geri kalanı 16 ile 23 Kasım tarihleri arasında çeşitli ticari VPN hizmetleri, Tor ağı ve AWS ile ilişkili IP adreslerinden gerçekleşti.
Listede yer alan kötü amaçlı kullanıcı aracısı dizeleri, “Gainsight bağlantılı uygulama tarafından kullanılan beklenen bir kullanıcı aracısı dizesi olmadıkları” için oradadır. Onlardan biri – Salesforce-Çoklu Kuruluş-Getirici/1.0 – saldırganlar tarafından yetkisiz erişim için kullanılmış ve Salesloft Drift saldırısında da gözlemlenmiştir.
Salesforce, ek IoC’lerin henüz keşfedilip yayınlanabileceği konusunda uyardı ve tüm müşterilerin, Gainsight’ın Salesforce’a bağlantısıyla ilgili beklenmedik etkinliklere karşı günlükleri incelemesini istedi.
Şirket, “Salesforce’un Gainsight uygulamasının OAuth belirteçlerini iptal etmesi, geçmiş denetim izlerinizi SİLMEZ veya bu olayı araştırma yeteneğinizi ENGELLEMEZ. Tüm Kurulum Denetim İzi girişleri, Olay İzleme günlükleri ve API etkinlik kayıtları sağlam ve erişilebilir kalır” dedi.
Gainsight, IoC IP adreslerinin daha da uzun bir listesini yayınladı ve potansiyel bir izinsiz girişi araştırmanın doğru yolunun, Gainsight Connected Uygulamasından kaynaklanan kimlik doğrulama girişimlerini ve API çağrılarını gösterdikleri için Salesforce günlüklerine odaklanmak olduğunu doğruladı.
Gainsight’tan müşteri tavsiyesi
Salesforce, Gainsight tarafından yayınlanan tüm uygulamalar ile Salesforce arasındaki bağlantıyı geçici olarak devre dışı bıraktı.
Salesforce, Gainsight ve Mandiant analistleri tarafından gerçekleştirilen uzlaşmaya ilişkin soruşturma halen devam ediyor.
Gainsight, bu arada ortamlarını daha da sağlamlaştırmak için adımlar attıklarını ve müşterilere şunları tavsiye ettiklerini söylüyor:
- Gainsight bağlantıları için kullanılan S3 klasör erişim tuşlarını döndürün.
- Salesforce Bağlantılı Uygulama işlevselliği tamamen geri yüklenene kadar Salesforce yerine doğrudan Gainsight NXT’de oturum açın.
- SSO aracılığıyla kimlik doğrulaması yapmayan tüm kullanıcılar için NXT kullanıcı parolalarını sıfırlayın.
- Kullanıcı kimlik bilgilerine veya belirteçlerine dayanan tüm bağlı uygulamaları veya entegrasyonları yeniden yetkilendirin.
Bir Gainsight çalışanı, “Salesforce başlangıçta etkilenen 3 müşteriden oluşan bir liste sundu ve bu liste (21 Kasım itibarıyla) daha geniş bir listeye genişletildi” dedi. Şirketin CEO’su Chuck Ganapathi, “şu anda yalnızca bir avuç müşterinin verilerinin etkilendiğini bildiklerini” söylüyor.
Shiny Hunters’ın iddia ettiği ihlal
Bu saldırıyı ve öncesindeki Salesloft Drift saldırısını üstlenen siber şantaj topluluğu Shiny Hunters, Gainsight’a yaklaşık 3 aydır erişime sahip olduğunu iddia etti. (Gainsight, Salesloft Drift saldırısının kurbanlarından biriydi.)
Palo Alto Networks tehdit araştırmacısı Matt Brady, “Yayınlandığı sırada Birim 42, iddia edilen Gainsight veri hırsızlığı kampanyasıyla ilgili bilgi sızdırdığını iddia eden tehdit aktörleri tarafından yapılan herhangi bir iletişimi henüz tespit etmemişti” dedi.
“Ancak 24 Kasım 2025’te Telegram kanallarına şu mesajı yayınladılar: ‘Toplamda 2025 kurban sayımızın ~1,5 bin (halka açık olarak 1000 olduğu bildirildi) ve hala arttığından oldukça eminim.”
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!