Gainsight ve Salesforce Güvenlik Uyarısı: Etkilenen Müşteriler Listesi Genişliyor
Gainsight, uygulamalarına yönelik son zamanlarda yaşanan şüpheli aktivitelerin, daha önce düşünülenden fazla müşteriyi etkilediğini açıkladı. Salesforce’un başlangıçta yalnızca 3 müşteriyi etkileyen bir liste sunduğunu belirten Gainsight, 21 Kasım 2025 itibarıyla bu listenin “daha geniş bir listeye” yayıldığını ifade etti. Şirket, etkilenen müşteri sayısını net olarak açıklamazken, CEO’su Chuck Ganapathi, “şu anda yalnızca birkaç müşterinin verilerinin etkilendiğini biliyoruz” dedi.
Güvenlik İhlali ve Şüpheli Faaliyetler
Bu durum, Salesforce’un Gainsight ile bağlantılı uygulamalara yönelik “olağandışı aktiviteler” tespit ettiğini duyurmasıyla meydana geldi. Bu durumu içeren adımlar arasında, şirketin tüm erişim ve yenileme token’larını iptal etmesi yer alıyor. Bu ihlalin, “ShinyHunters” olarak bilinen bir siber suç grubu tarafından gerçekleştirildiği iddia ediliyor.
Zendesk, Gong.io ve HubSpot gibi birçok şirket, Gainsight entegrasyonlarını geçici olarak askıya aldı. Google da gainsightcloud[.]com gibi geri çağırma URI’leriyle OAuth istemcilerini devre dışı bıraktı. HubSpot, kendi açıklamasında, altyapısının veya müşterilerinin herhangi bir şekilde tehlikeye girdiğine dair bir kanıt bulmadığını bildirdi.
Hangi Ürünler Etkilendi?
Gainsight, Salesforce ile olan okuma ve yazma yeteneklerinin geçici olarak kapatıldığı ürünleri de sıraladı:
- Müşteri Başarısı (CS)
- Topluluk (CC)
- Northpass – Müşteri Eğitimi (CE)
- Skilljar (SJ)
- Staircase (ST)
Ancak şirket, Staircase ürününün olaydan etkilenmediğini vurguladı ve Salesforce’un, devam eden bir soruşturma nedeniyle bu bağlantıyı iptal ettiğini belirtti.
Önleyici Adımlar ve Güvenlik Önerileri
Gainsight, müşterilerine ortamlarını güvence altına almak için aşağıdaki adımları takip etmelerini öneriyor:
- S3 kutu erişim anahtarlarını ve Gainsight ile bağlantılı diğer araçları yenileyin.
- Gainsight NXT’ye doğrudan giriş yapın, Salesforce üzerinden değil, entegrasyon tamamen geri yüklenene kadar.
- SSO ile kimlik doğrulaması yapmayan kullanıcılar için NXT kullanıcı şifrelerini sıfırlayın.
- Kullanıcı kimlik bilgileri veya token’ları kullanan bağlı uygulama ve entegrasyonları yeniden yetkilendirin.
“Bu adımlar önleyici niteliktedir ve soruşturma devam ederken çevrenizin güvende kalmasını sağlamak amacıyla tasarlanmıştır,” dedi Gainsight.
Siber Suç ve Yeni Tehditler
Bu gelişmeler, ShinySp1d3r adı verilen yeni bir ransomware-as-a-service (RaaS) platformunun ortaya çıkmasıyla aynı döneme denk geliyor. Scattered Spider, LAPSUS$ ve ShinyHunters (SLSH) tarafından geliştirildiği belirtilen bu platform, son bir yılda en az 51 siber saldırı gerçekleştirdi.
Bunun yanı sıra, ShinySp1d3r’ın bazı yenilikçi özelliklere sahip olduğu da bildirildi. Örneğin, Windows Olay Günlüğü kaydını engellemek için EtwEventWrite işlevini kullanması ve dosyaların şifrelenmesini engelleyen açılmış dosyaları sonlandırması gibi özellikler dikkat çekiyor.
Bu gelişmeler, organizasyonların karşılaştığı tehditlerin likiditesini artırmakta. ShinyHunters grubu, yüksek hacimli siber saldırılar ve yeni iş modelleri geliştirme konusundaki yetenekleri ile göz önünde. Uzmanlar, bu tür kombinasyonların organizasyonları daha da zor durumda bırakacağını öngörüyor.
