Une faille chez Gainsight a exposé les données de 200 clients Salesforce

Génération NT / Actualités / Une faille chez Gainsight a exposé les données de 200 clients Salesforce

Publié le 24 novembre 2025 à 14:30 par Jérôme G.

Une cyberattaque sur la chaîne d'approvisionnement a permis le vol des données de plus de 200 clients de Salesforce. La faille provient d'applications tierces de Gainsight. Le groupe Scattered Lapsus$ Hunters, incluant ShinyHunters, a revendiqué le piratage.

Une faille de sécurité impliquant des applications tierces a exposé les données de centaines de clients de la plateforme Salesforce. Google Threat Intelligence a confirmé que plus de 200 instances Salesforce ont été potentiellement affectées.

L'incident trouve son origine dans des applications connectées publiées par Gainsight, une plateforme de support client. Salesforce a rapidement réagi en révoquant les accès et en retirant temporairement les applications concernées de son AppExchange.

Quel est le mode opératoire des attaquants ?

Le groupe d'attaquants, connu sous le nom de Scattered Lapsus$ Hunters et incluant ShinyHunters, a revendiqué l'attaque. Leur méthode repose sur la compromission de tokens d'authentification OAuth de services tiers.

Un porte-parole de ShinyHunters a expliqué à TechCrunch qu'ils avaient obtenu l'accès à Gainsight suite à une précédente campagne visant les clients de Salesloft, une autre plateforme SaaS.

" Gainsight était un client de Salesloft Drift, ils ont été affectés et donc entièrement compromis par nous. " Un incident qui met en lumière une vulnérabilité dans les interconnexions entre services cloud.

Un certain flou demeure

Le groupe a publié une liste de victimes présumées, comprenant des noms comme Atlassian, CrowdStrike, Docusign, GitLab, LinkedIn, Malwarebytes, Thomson Reuters our encore Verizon.

Cependant, les réactions des entreprises citées sont mitigées. Un porte-parole de CrowdStrike a fermement nié être affecté par le problème Gainsight, assurant que toutes les données des clients restent sécurisées.

Docusign a affirmé n'avoir aucune indication de compromission de données après une analyse approfondie, mais a suspendu par précaution toutes les intégrations avec Gainsight.

Une menace de tentative d'extorsion

Salesforce a tenu à souligner qu'il n'y a " aucune indication que ce problème résulte d'une quelconque vulnérabilité de la plateforme Salesforce ".

L'entreprise a notifié les clients impactés et collabore avec l'unité de réponse aux incidents Mandiant de Google pour l'enquête. Gainsight a également indiqué travailler avec Mandiant.

Scattered Lapsus$ Hunters a annoncé son intention de lancer un site web dédié pour extorquer ses victimes, une tactique déjà employée par le passé.

Jérôme G.

Journaliste GNT spécialisé en nouvelles technologies

Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.

Poster un commentaire