谷歌证实，黑客通过大规模供应链攻击窃取了储存在 Salesforce 平台上的逾 200 家企业的数据。Salesforce 公司披露其部分客户的 Salesforce 数据遭遇泄露，但未公开具体受影响企业名单，相关数据系通过 Gainsight 公司发布的应用程序被窃取。Gainsight 是一家为企业提供客户支持平台的服务商。

谷歌威胁情报团队首席威胁分析师奥斯汀·拉尔森表示，谷歌确认有超过 200 个 Salesforce 实例可能受到此次事件影响。在 Salesforce 宣布数据泄露后，黑客组织“Scattered Lapsus$ Hunters”在一个 Telegram 频道中宣称对此次攻击负责。该黑客组织还声称，其攻击波及 Atlassian、CrowdStrike、DocuSign、F5、GitLab、LinkedIn、Malwarebytes、SonicWall、汤森路透和 Verizon 等企业。谷歌方面拒绝对具体受害企业置评。

CrowdStrike 发言人凯文·贝纳奇表示，公司未受 Gainsight 相关事件影响，所有客户数据均保持安全。不过，CrowdStrike 同时证实，已解雇一名“可疑内部人员”，因其涉嫌向黑客泄露信息。Verizon 发言人凯文·以色列称，公司已注意到该威胁行为者提出的未经证实的说法。Malwarebytes 发言人阿什利·斯图尔特表示，公司安全部门已知悉 Gainsight 与 Salesforce 相关事件，并正积极展开调查。汤森路透一名发言人则称，公司正在积极调查此事。DocuSign 首席信息安全官迈克尔·亚当斯表示，经全面日志分析与内部调查，截至目前，未发现 DocuSign 数据遭到泄露的证据，但出于高度审慎考虑，已采取多项措施，包括终止所有 Gainsight 集成服务，并阻断相关数据流。

ShinyHunters 团伙成员透露，其之所以能入侵 Gainsight，得益于此前针对 Salesloft 客户的攻击行动。在该起早期事件中，黑客成功窃取了这些客户持有的 Drift 认证令牌，进而突破其关联的 Salesforce 实例并下载其中数据。当时，Gainsight 已确认自身系该攻击事件的受害者之一。Gainsight 未回应置评请求。

周四，Salesforce 发布声明称，目前无任何迹象表明此次事件源于 Salesforce 平台自身存在漏洞，实质上将责任与客户数据泄露进行了切割。Gainsight 在其事件通报页面持续更新进展，周五表示，目前已协同谷歌旗下事件响应单位 Mandiant 展开联合调查；此次事件源于相关应用程序的外部连接环节，而非 Salesforce 平台本身的任何问题或漏洞；全面且独立的取证分析仍在持续进行中。Gainsight 的事件页面还指出，作为预防性措施，Salesforce 已临时撤销所有 Gainsight 关联应用程序的有效访问令牌，同时其对异常活动的调查仍在继续。Salesforce 正在通知那些数据已被窃取的受影响客户。

Scattered Lapsus$ Hunters 在其 Telegram 频道中宣称，计划于下周推出专属网站，用以勒索此次攻击行动的受害者，这已是该组织惯用手法；今年 10 月，该团伙在 Salesloft 攻击事件中窃取受害者 Salesforce 数据后，亦曾上线类似勒索网站。Scattered Lapsus$ Hunters 是一个由多个英语系网络犯罪团伙组成的松散联盟，成员包括 ShinyHunters、Scattered Spider 及 Lapsus$ 等组织。其成员惯于利用社会工程学手段，诱骗企业员工授予其对内部系统或数据库的访问权限。近数年间，这些团体已宣称成功攻击多家知名企业，包括美高梅国际酒店集团、Coinbase、DoorDash 等。