Salesforce Gainsight-Hack: Daten von 200 Firmen gestohlen

Veröffentlicht am 22. November 2025 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)In der Gainsight-Anwendung von Salesforce wurden vor kurzem ungewöhnliche Aktivitäten beobachtet. Nun ist klar, es gab einen Hack, und laut Google wurden inzwischen die Daten von 200 Firmen, die die Gainsight-Anwendung verwendet haben, gestohlen. Nächster Fail in Sachen Datenabfluss bei Salesforce.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Sponsored by IT Pro)

Salesforce ist ein US-Anbieter von Cloud-Lösungen. Das Unternehmen gilt als der weltgrößte Cloud-Softwareanbieter für Unternehmen. Das Unternehmen bietet eine Data Loader-Anwendung an. Mit dieser Client-Anwendung ist ein Massenimport oder -export von Daten möglich. Der Data Loader soll verwendet werden, um Salesforce-Datensätze einzufügen, zu aktualisieren, zu löschen oder zu exportieren. Es gibt weitere Schnittstellen und Anwendungen, die mit Salesforce Kundendaten hantieren.

Salesforce bzw. deren Kunden sind ob dieses Software-Zoos ein dankbares Opfer für Hacker. Bekommt man Zugriff auf die Plattform, kann man Kundendaten, ggf. mit weiteren, dort gespeicherten Geheimnissen, abfischen. Ich hatte hier im Blog ja bereits einige Vorfälle thematisiert (siehe Artikellinks am Beitragsende). Beim Drift-Salesforce-Angriff sollen jede Menge Daten abgeflossen sein.

Warnung von Salesforce vor möglichem Gainsight-Hack

Gainsight ist ein Anbieter von Apps und Atlas AI-Agenten für den Bereich Customers Relation Management, wie ich hier gelesen habe. Die Tage hat Salesforce die nachfolgende gezeigte "Informative Meldung" veröffentlicht.

Salesforce bestätigt Gainsight-App-Probleme

Ist nichts gravierendes, nur ein vorsorglicher Sicherheitshinweis: Man hat ungewöhnliche Aktivitäten im Zusammenhang mit Gainsight-Anwendungen festgestellt. Kann schon mal vorkommen und mit AI-Agenten werden wir das künftig häufiger sehen. Kein Grund zur Beunruhigung, gehen sie weiter, es gibt nichts zu sehen.

So ganz vage schreibt Salesforce, dass man einen Zusammenhang mit von Gainsight veröffentlichten Anwendungen festgestellt habe, wenn diese mit Salesforce verbunden sind und direkt von Kunden installiert und verwaltet werden. Da muss ich dem Anbieter Recht geben, wenn Kunden Mist bauen, ist das nicht das Bier von Salesforce.

Die Untersuchungen von Salesforce deuten darauf hin, dass diese ungewöhnlichen Aktivitäten möglicherweise einen unbefugten Zugriff auf die Salesforce-Daten bestimmter Kunden über die Verbindung der Anwendung ermöglicht haben.

Nach Feststellung dieser Aktivitäten hat Salesforce alle aktiven Zugriffs- und Aktualisierungstoken für von Gainsight veröffentlichte Anwendungen, die mit Salesforce verbunden sind, gesperrt und diese Anwendungen vorübergehend aus dem AppExchange entfernt, während unsere Untersuchungen weiterlaufen.

Es gibt keine Anzeichen dafür, dass dieses Problem auf eine Schwachstelle in der Salesforce-Plattform zurückzuführen ist. Die Aktivität scheint mit der externen Verbindung der App zu Salesforce zusammenzuhängen.

Datenabfluss beim Salesforce Gainsight-Hack

In nachfolgendem Post warnt Lorenzo Franceschi-Bicchierai, dass was Unschönes im Anmarsch sei. Laut Google ist es Hackern von Scattered Lapsus$ Hunters gelungen, über einen Lieferkettenangriff die in Salesforce gespeicherten Daten von mehr als 200 Unternehmen abzugreifen.

Salesforce Gainsight-Hack

Franceschi-Bicchierai hat die Details im Techcrunch-Artikel Google says hackers stole data from 200 companies following Gainsight breach veröffentlicht. Von der Hackergruppe heißt es, dass sie CrowdStrike, Linkedin, Malwarebytes, Verizon usw. angegriffen haben. Passt zu obiger Information, dass Salesforce die ungewöhnlichen Aktivitäten der Gainsight-Anwendungen gemeldet hat.

Malwarebytes hat wohl mit Untersuchungen begonnen, CrowdStrike gibt an, nicht betroffen zu sein. Austin Larsen, leitender Bedrohungsanalyst der Google Threat Intelligence Group, gibt an, dass man von "mehr als 200 potenziell betroffenen Salesforce-Instanzen Kenntnis habe".

Aktuell ist noch vieles unklar, wir können uns aber darauf einstellen, dass es demnächst weitere Meldungen im Umfeld des Gainsight-Hacks geben dürfte. Ergänzung: Mandiant hat seinen Artikel hier zu Härtungsmaßnahmen um Empfehlungen zu Gainsight erweitert.

Ähnliche Artikel:
Hackergruppe UNC6040 greift Salesforce-Instanzen per Vishing an
Desaster Salesloft / Salesforce-Hack: Google, Cloudflare & Co. unter den Opfern
Check Point-Analyse zum Drift-Salesforce-Angriff UNC6395
Salesforce-Breach: ShinyHunters will 1,5 Milliarden Datensätze abgezogen haben
Strafverfolger beschlagnahmen BreachForums – wurde für Salesforce-Leak genutzt

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Salesforce Gainsight-Hack: Daten von 200 Firmen gestohlen

  1. Luzifer sagt:
    22. November 2025 um 14:06 Uhr

    Die Cloud die klaut ;-P

    Antworten
  2. Anonymous sagt:
    22. November 2025 um 14:17 Uhr

    …the same procedure as EVERY day, James…

    Antworten
  3. TBR sagt:
    22. November 2025 um 14:17 Uhr

    CRM in einer Cloud ist schon sehr fahrlässig. Das muss on-Prem bleiben.

    Antworten
  4. Peter Vorstatt sagt:
    23. November 2025 um 11:43 Uhr

    Spontaner Einfall, zu faul zur Recherche: Frage: Gibt es das deutsche Datenschutzrecht (inkl. DS-GVO) her, dass vor einem Vertragsabschluss die Gegenseite auf Anfrage Auskunft geben muss ob sie Salesforce nutzt? Danke für allfälligen Hirnschmalz und Erfahrungen.

    Antworten
    • Werner sagt:
      24. November 2025 um 08:17 Uhr

      Es müsste nur einer den Angemessenheitsbeschluss der EU-Kommission zur US-Datenübertragung wegklagen. In dem Moment sind alle US-Cloudanbieter raus, weil sie 'dank' des US-Cloud-Acts keine Standardvertragsklauseln einhalten können.

      Aber da muss einer aktiv klagen, von allein passiert das leider nicht. Die Erfolgsaussichten sind dank der Aussage des franz. Justiziars von MS im Juni recht hoch, aber wahrscheinlich muss man sich erst wieder durch die Instanzen kämpfen.

      Hier

      https://www.bfdi.bund.de/DE/Buerger/Inhalte/Allgemein/Betroffenenrechte/Betroffenenrechte_Auskunftsrecht.html

      steht, man habe auch das Recht auf Auskunft, an wen die eigenen Daten weitergegeben werden. Das lese ich so, dass der Geschäftspartner auf Anfrage auch Auskunft erteilen muss, an wen (z.B. Salesforce) die eigenen Daten zur Verarbeitung weitergegeben werden.

      Ob man dem Vertragspartner wichtig genug ist, um einen vertraglichen Ausschluss von Salesforce durchdrücken zu können, ist individuell. Solange oben genannte Klage nicht erfolgreich durch ist, kann man die DSGVO-Keule jedenfalls nicht gegen Salesforce schwingen, das muss man dann wohl 'Normalvertraglich' regeln.

      Antworten
      • Peter Vorstatt sagt:
        24. November 2025 um 12:47 Uhr

        Besten Dank für die ausführliche Antwort.

        Vergleich (Bsp.): Nach Gebäudeenergiegesetz (1) gilt für den Anbieter/Inserent einer Mietwohnung, Zitat: "Einem potenziellen … Mieter … ist bei der Besichtigung ein Energieausweis vorzulegen …".

        Erstaunlich, wie weit im Immobilienrecht die Auskunftsrechte im Vorfeld von Vertragsabschlüssen schon gediehen sind. Ausgerechnet beim Datenschutz sieht es aber mau aus.
        _
        (1) https://de.wikipedia.org/wiki/Energieausweis

        Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.