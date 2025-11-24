Nuovo attacco contro le istanze Salesforce da parte del gruppo Scattered Lapsus$ Hunters, dopo quelli di giugno e agosto. Stavolta l’intrusione è avvenuta tramite le app di Gainsight, azienda che offre una piattaforma di supporto clienti. In base alle rilevazioni di Google, i cybercriminali hanno rubato i dati di oltre 200 aziende.

Salesforce ha disconnesso le app di Gainsight

Gainsight ha comunicato agli utenti il 20 novembre che non era possibile effettuare la connessione alle istanze Salesforce. Circa mezzora dopo ha svelato il motivo. L’azienda nota per i suoi CRM ha revocato tutti gli accessi e aggiornato i token associati alle app di Gainsight installate e gestite dai clienti, dopo aver rilevato attività sospette.

Salesforce sottolinea che il problema di sicurezza non è correlato ad una vulnerabilità della sua piattaforma. In una pagina ha elencato gli indirizzi IP da cui è arrivato il traffico inusuale. Come si può leggere sono quasi tutti indirizzi IP associati alle VPN utilizzate dai cybercriminali per nascondere la provenienza dell’attacco.

A distanza di quattro giorni, le app di Gainsight sono ancora scollegate dalle istanze Salesforce. Come scritto in questa pagina, Salesforce ha fornito l’elenco dei clienti interessati che Gainsight ha successivamente avvisato. Secondo Google, i cybercriminali hanno rubato i dati di oltre 200 aziende, tra cui Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters e Verizon.

Il nuovo attacco contro le istanze Salesforce è stata rivendicato dal gruppo Scattered Lapsus$ Hunters, già autore delle due precedenti intrusioni che hanno permesso di rubare oltre un miliardo di dati. I cybercriminali hanno spiegato che l’accesso è stato possibile utilizzando i token di autenticazione di Salesloft Drift (Gainsight è un cliente di Salesloft).

I cybercriminali hanno comunicato che lanceranno un sito dedicato con i dati di tutte le aziende interessate. Se non pagheranno la somma richiesta, i dati verranno divulgati.