Salesforce上周四（11月20日）通报，发现由Gainsight发布并连接至Salesforce的应用程序出现异常活动。相关应用程序由客户自行安装和管理，Salesforce调查指出，攻击者可能通过该应用与Salesforce的连接，未经授权访问了部分客户数据。Google威胁情报小组首席威胁分析师Austin Larsen表示，可能有超过200家Salesforce客户受到影响。

类似的供应链攻击在三个月前也曾发生，当时受影响的第三方应用为Salesloft Drift。黑客利用被盗的Drift OAuth凭证进入客户Salesforce环境，并大量导出用户数据。

成立于2009年的Gainsight是一家提供客户成功管理与客户体验软件的公司，其核心产品可集成Salesforce等CRM系统，帮助企业追踪客户健康状况、降低流失率并提升续约率。该公司表示，根据现有证据，仅Gainsight CS（客户成功）与Salesforce之间的连接受到波及。

为防范风险，Salesforce已关闭Gainsight CS、Gainsight Community、Northpass（Gainsight CE）及Skilljar（Gainsight SJ）与Salesforce之间的读写权限。尽管目前仅确认攻击者利用了Gainsight CS与Salesforce的连接，但Zendesk和HubSpot也出于预防性考虑，暂时停用了连接至Gainsight的集成接口。

Salesforce表示，该公司已于11月20日切断Gainsight所有应用程序与Salesforce之间的连接，目前无证据表明此次事件源于Salesforce平台本身的漏洞，而是与相关应用外部连接Salesforce的方式有关。

Larsen指出，此次攻击与黑客组织ShinyHunters有关，该组织入侵第三方OAuth令牌，未经授权访问Salesforce客户实例。Salesforce已采取措施撤销受影响的令牌，并将相关应用从AppExchange下架。Salesforce与Mandiant正在主动通知可能受影响的组织。