Взлом Gainsight открыл доступ к данным 200+ компаний в Salesforce: под ударом Atlassian, LinkedIn и другие

В последние недели специалисты Google Threat Intelligence Group обнародовали тревожную информацию: недавний инцидент с Gainsight мог затронуть более двух сотен корпоративных клиентов Salesforce. Истоки этой истории уходят к событиям августа 2025 года, когда злоумышленники, действующие под именем SLH, сумели похитить OAuth-токены у Salesloft. Эти ключи позволили им получить доступ к интеграциям, в частности к чату Drift AI, связанному с Salesforce, и, как следствие, к данным множества компаний, включая файлы Gainsight.

Salesforce, заметив подозрительную активность, оперативно отозвала все права и токены, связанные с приложениями Gainsight, а сами приложения временно исчезли из каталога AppExchange. В компании подчеркнули, что не обнаружили уязвимостей в собственной платформе, а проблема возникла из-за сторонних интеграций.

По данным Google, под угрозой оказались данные более 200 организаций, среди которых фигурируют такие имена, как Atlassian, CrowdStrike, LinkedIn, Docusign, GitLab, Malwarebytes, SonicWall, Thomson Reuters, Verizon и другие. Однако ни одна из этих компаний официально не подтвердила факт компрометации, ограничившись заявлениями о проведении внутренних расследований или вовсе оставив запросы без ответа.

Журналисты TechCrunch связались с представителями SLH через Telegram, где те взяли на себя ответственность за атаку и уточнили, что их целью были именно интеграции сторонних сервисов с Salesforce. В итоге, несмотря на масштаб инцидента, Salesforce подчеркивает, что их собственная инфраструктура не стала причиной утечки, а проблема кроется в безопасности внешних приложений и сервисов, подключаемых к их экосистеме. Михаил Понамарев