Salesforce Gainsight-Hack: Daten von 200 Firmen gestohlen

Veröffentlicht am 22. November 2025 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)In der Gainsight-Anwendung von Salesforce wurden vor kurzem ungewöhnliche Aktivitäten beobachtet. Nun ist klar, es gab einen Hack, und laut Google wurden inzwischen die Daten von 200 Firmen, die die Gainsight-Anwendung verwendet haben, gestohlen. Nächster Fail in Sachen Datenabfluss bei Salesforce.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)

Salesforce ist ein US-Anbieter von Cloud-Lösungen. Das Unternehmen gilt als der weltgrößte Cloud-Softwareanbieter für Unternehmen. Das Unternehmen bietet eine Data Loader-Anwendung an. Mit dieser Client-Anwendung ist ein Massenimport oder -export von Daten möglich. Der Data Loader soll verwendet werden, um Salesforce-Datensätze einzufügen, zu aktualisieren, zu löschen oder zu exportieren. Es gibt weitere Schnittstellen und Anwendungen, die mit Salesforce Kundendaten hantieren.

Salesforce bzw. deren Kunden sind ob dieses Software-Zoos ein dankbares Opfer für Hacker. Bekommt man Zugriff auf die Plattform, kann man Kundendaten, ggf. mit weiteren, dort gespeicherten Geheimnissen, abfischen. Ich hatte hier im Blog ja bereits einige Vorfälle thematisiert (siehe Artikellinks am Beitragsende). Beim Drift-Salesforce-Angriff sollen jede Menge Daten abgeflossen sein.

Warnung von Salesforce vor möglichem Gainsight-Hack

Gainsight ist ein Anbieter von Apps und Atlas AI-Agenten für den Bereich Customers Relation Management, wie ich hier gelesen habe. Die Tage hat Salesforce die nachfolgende gezeigte "Informative Meldung" veröffentlicht.

Salesforce bestätigt Gainsight-App-Probleme

Ist nichts gravierendes, nur ein vorsorglicher Sicherheitshinweis: Man hat ungewöhnliche Aktivitäten im Zusammenhang mit Gainsight-Anwendungen festgestellt. Kann schon mal vorkommen und mit AI-Agenten werden wir das künftig häufiger sehen. Kein Grund zur Beunruhigung, gehen sie weiter, es gibt nichts zu sehen.

So ganz vage schreibt Salesforce, dass man einen Zusammenhang mit von Gainsight veröffentlichten Anwendungen festgestellt habe, wenn diese mit Salesforce verbunden sind und direkt von Kunden installiert und verwaltet werden. Da muss ich dem Anbieter Recht geben, wenn Kunden Mist bauen, ist das nicht das Bier von Salesforce.

Die Untersuchungen von Salesforce deuten darauf hin, dass diese ungewöhnlichen Aktivitäten möglicherweise einen unbefugten Zugriff auf die Salesforce-Daten bestimmter Kunden über die Verbindung der Anwendung ermöglicht haben.

Nach Feststellung dieser Aktivitäten hat Salesforce alle aktiven Zugriffs- und Aktualisierungstoken für von Gainsight veröffentlichte Anwendungen, die mit Salesforce verbunden sind, gesperrt und diese Anwendungen vorübergehend aus dem AppExchange entfernt, während unsere Untersuchungen weiterlaufen.

Es gibt keine Anzeichen dafür, dass dieses Problem auf eine Schwachstelle in der Salesforce-Plattform zurückzuführen ist. Die Aktivität scheint mit der externen Verbindung der App zu Salesforce zusammenzuhängen.

Datenabfluss beim Salesforce Gainsight-Hack

In nachfolgendem Post warnt Lorenzo Franceschi-Bicchierai, dass was Unschönes im Anmarsch sei. Laut Google ist es Hackern von Scattered Lapsus$ Hunters gelungen, über einen Lieferkettenangriff die in Salesforce gespeicherten Daten von mehr als 200 Unternehmen abzugreifen.

Salesforce Gainsight-Hack

Franceschi-Bicchierai hat die Details im Techcrunch-Artikel Google says hackers stole data from 200 companies following Gainsight breach veröffentlicht. Von der Hackergruppe heißt es, dass sie CrowdStrike, Linkedin, Malwarebytes, Verizon usw. angegriffen haben. Passt zu obiger Information, dass Salesforce die ungewöhnlichen Aktivitäten der Gainsight-Anwendungen gemeldet hat.

Malwarebytes hat wohl mit Untersuchungen begonnen, CrowdStrike gibt an, nicht betroffen zu sein. Austin Larsen, leitender Bedrohungsanalyst der Google Threat Intelligence Group, gibt an, dass man von "mehr als 200 potenziell betroffenen Salesforce-Instanzen Kenntnis habe". Aktuell ist noch vieles unklar, wir können uns aber darauf einstellen, dass es demnächst weitere Meldungen im Umfeld des Gainsight-Hacks geben dürfte.

Ähnliche Artikel:
Hackergruppe UNC6040 greift Salesforce-Instanzen per Vishing an
Desaster Salesloft / Salesforce-Hack: Google, Cloudflare & Co. unter den Opfern
Check Point-Analyse zum Drift-Salesforce-Angriff UNC6395
Salesforce-Breach: ShinyHunters will 1,5 Milliarden Datensätze abgezogen haben
Strafverfolger beschlagnahmen BreachForums – wurde für Salesforce-Leak genutzt

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.