Salesforce оголосила про виявлення “незвичайної активності”, пов’язаної з додатками GainsGain, опублікованими для Salesforce, і відкликала всі активні токени доступу та оновлення, пов’язані з ними. Компанія виявила компрометацію OAuth-токенів третіх сторін, що дозволило зловмисникам отримати неавторизований доступ до даних клієнтів. Кампанія, описана Google Threat Intelligence Group (GTIG) як “emerging campaign”, націлена на Gainsight-додатки, інтегровані з Salesforce, для крадіжки чутливої інформації, включаючи контакти, угоди та CRM-дані. Зловмисники використовують фішинг для отримання токенів, дозволяючи читання/запис даних без аутентифікації. Salesforce рекомендує клієнтам перевірити інтеграції та відкликати підозрілі токени. Тренд: зростання атак на OAuth +45% у 2025, з фокусом на CRM-платформи. Інші деталі: атака не впливає на ядро Salesforce, але зачіпає тисячі бізнесів. Загроза поширюється на Європу та США, де Gainsight популярний для customer success. CISA радить моніторинг токенів. Це підкреслює ризики в інтеграціях SaaS, де один злам веде до масового витоку.

Вплив атаки включає компрометацію CRM-даних, фінансові втрати та порушення GDPR. Рекомендації: відкликати токени, впроваджувати MFA для інтеграцій, моніторити OAuth-запити. Кампанія сигналізує про еволюцію фішингу. Тренд: +30% атак на SaaS у 2025. Для організацій радять аудит інтеграцій та AI-детекцію. Інцидент ілюструє необхідність обережності з третіми сторонами.