أفادت شركة غوغل أن نسخًا من البيانات المخزنة على منصة "Salesforce" والخاصة بأكثر من 200 شركة قد تمّت سرقتها في هجوم واسع النطاق استهدف سلسلة الإمداد الرقمية.

أكدت شركة غوغل أن نسخًا من البيانات المخزنة على منصة "Salesforce"  والخاصة بأكثر من 200 شركة قد تمّت سرقتها في هجوم واسع النطاق استهدف سلسلة الإمداد الرقمية.

وكانت "Salesforce"  قد أعلنت يوم الخميس عن حصول وصول غير مصرح به إلى بيانات بعض عملائها، دون أن توضح أسماء الشركات المتضررة.
وأشارت الشركة إلى أن تسريب البيانات تم عبر تطبيقات توفرها شركة "Gainsight" التي تقدّم خدمات دعم عملاء لشركات أخرى.

وقال أوستن لارسون، المحلل الرئيسي في فريق غوغل للاستخبارات التهديدية، إن ما يزيد عن 200 نموذج من "Salesforce" ربما تكون قد تأثرت بالهجوم.

وبعد إعلان" Salesforce"، أعلنت مجموعة القراصنة "Scattered Lapsus$ Hunters" – التي تضم مجموعة "ShinyHunters  المعروفة – مسؤوليتها عن الهجوم عبر قناة على منصة تلغرام.

وزعمت المجموعة أن شركات كبرى من بينها ": "Atlassian ، "CrowdStrike، Docusign، F5، GitLab"، "LinkedIn"، "Malwarebytes"، "SonicWall"، "Thomson Reuters" و"Verizon" قد تأثرت بالاختراق. فيما رفضت غوغل التعليق على شركات محددة.

وقال كيفن بيناتشي، المتحدث باسم CrowdStrike، إنهم غير متأثرين بمشكلة ناتجة عن Gainsight، مؤكداً أن بيانات العملاء آمنة. كما أوضح أن الشركة فصلت موظفاً داخلياً بعد الاشتباه في تزويده القراصنة بمعلومات.

أما كيفن إزرائيل، المتحدث باسم Verizon، فوصف مزاعم القراصنة بأنها غير مدعّمة بالأدلة. بينما قالت Malwarebytes إنها تحقق في المسألة المرتبطة بتكامل Gainsight–Salesforce. وأعلنت Thomson Reuters أنها تجري تحقيقاً مشابهاً.

من جهته، أكد مايكل آدامز رئيس الأمن في Docusign أنه لا توجد أي أدلة تشير إلى حدوث خرق بعد مراجعة السجلات، مضيفاً أن الشركة علقت جميع التكاملات مع Gainsight كإجراء احترازي.

وقالت المجموعة في بيانها عبر تلغرام إنها حصلت على وصولها إلى Gainsight من خلال الهجوم السابق على منصة Salesloft Drift، حيث تمكن المخترقون من سرقة رموز المصادقة (tokens) الخاصة بعملاء Salesloft، مما أتاح لهم الدخول إلى حسابات Salesforce التابعة للشركات وتنزيل البيانات.

وكانت Gainsight قد أكدت في وقت سابق تأثرها بهجوم Salesloft.

وقالت Salesforce إن الخرق لا يعود إلى ثغرة في منصتها، وإن نقطة الضعف جاءت من تطبيقات Gainsight.

وتواصل Gainsight نشر تحديثات حول التحقيق عبر صفحة "الحوادث" الخاصة بها، وأوضحت أنها تعمل مع فريق الاستجابة للحوادث في غوغل Mandiant وأن التحقيق الجنائي ما يزال جارياً.

كما أقدمت Salesforce على إلغاء رموز الوصول المرتبطة بتطبيقات Gainsight مؤقتاً، وأرسلت إشعارات للعملاء المتأثرين.

وأعلنت مجموعة Scattered Lapsus$ Hunters أنها ستطلق الأسبوع المقبل موقعاً خاصاً لابتزاز الشركات التي تزعم أنها متضررة، وذلك بعد أن نشرت في أكتوبر الماضي بيانات Salesforce التي سُرقت في هجوم مشابه عبر Salesloft.

وتتألف المجموعة من اندماج عدة فرق قرصنة ناطقة بالإنجليزية مثل ShinyHunters، Scattered Spider، وLapsus$، والمعروفة بسلسلة من الهجمات القائمة على الهندسة الاجتماعية ضد شركات كبرى مثل MGM Resorts وCoinbase وDoorDash خلال السنوات الأخيرة. 

أكدت شركة غوغل أن نسخًا من البيانات المخزنة على منصة "Salesforce"  والخاصة بأكثر من 200 شركة قد تمّت سرقتها في هجوم واسع النطاق استهدف سلسلة الإمداد الرقمية.

وكانت "Salesforce"  قد أعلنت يوم الخميس عن حصول وصول غير مصرح به إلى بيانات بعض عملائها، دون أن توضح أسماء الشركات المتضررة.
وأشارت الشركة إلى أن تسريب البيانات تم عبر تطبيقات توفرها شركة "Gainsight" التي تقدّم خدمات دعم عملاء لشركات أخرى.

وقال أوستن لارسون، المحلل الرئيسي في فريق غوغل للاستخبارات التهديدية، إن ما يزيد عن 200 نموذج من "Salesforce" ربما تكون قد تأثرت بالهجوم.

وبعد إعلان" Salesforce"، أعلنت مجموعة القراصنة "Scattered Lapsus$ Hunters" – التي تضم مجموعة "ShinyHunters  المعروفة – مسؤوليتها عن الهجوم عبر قناة على منصة تلغرام.

وزعمت المجموعة أن شركات كبرى من بينها ": "Atlassian ، "CrowdStrike، Docusign، F5، GitLab"، "LinkedIn"، "Malwarebytes"، "SonicWall"، "Thomson Reuters" و"Verizon" قد تأثرت بالاختراق. فيما رفضت غوغل التعليق على شركات محددة.

وقال كيفن بيناتشي، المتحدث باسم CrowdStrike، إنهم غير متأثرين بمشكلة ناتجة عن Gainsight، مؤكداً أن بيانات العملاء آمنة. كما أوضح أن الشركة فصلت موظفاً داخلياً بعد الاشتباه في تزويده القراصنة بمعلومات.

أما كيفن إزرائيل، المتحدث باسم Verizon، فوصف مزاعم القراصنة بأنها غير مدعّمة بالأدلة. بينما قالت Malwarebytes إنها تحقق في المسألة المرتبطة بتكامل Gainsight–Salesforce. وأعلنت Thomson Reuters أنها تجري تحقيقاً مشابهاً.

من جهته، أكد مايكل آدامز رئيس الأمن في Docusign أنه لا توجد أي أدلة تشير إلى حدوث خرق بعد مراجعة السجلات، مضيفاً أن الشركة علقت جميع التكاملات مع Gainsight كإجراء احترازي.

وقالت المجموعة في بيانها عبر تلغرام إنها حصلت على وصولها إلى Gainsight من خلال الهجوم السابق على منصة Salesloft Drift، حيث تمكن المخترقون من سرقة رموز المصادقة (tokens) الخاصة بعملاء Salesloft، مما أتاح لهم الدخول إلى حسابات Salesforce التابعة للشركات وتنزيل البيانات.

وكانت Gainsight قد أكدت في وقت سابق تأثرها بهجوم Salesloft.

وقالت Salesforce إن الخرق لا يعود إلى ثغرة في منصتها، وإن نقطة الضعف جاءت من تطبيقات Gainsight.

وتواصل Gainsight نشر تحديثات حول التحقيق عبر صفحة "الحوادث" الخاصة بها، وأوضحت أنها تعمل مع فريق الاستجابة للحوادث في غوغل Mandiant وأن التحقيق الجنائي ما يزال جارياً.

كما أقدمت Salesforce على إلغاء رموز الوصول المرتبطة بتطبيقات Gainsight مؤقتاً، وأرسلت إشعارات للعملاء المتأثرين.

وأعلنت مجموعة Scattered Lapsus$ Hunters أنها ستطلق الأسبوع المقبل موقعاً خاصاً لابتزاز الشركات التي تزعم أنها متضررة، وذلك بعد أن نشرت في أكتوبر الماضي بيانات Salesforce التي سُرقت في هجوم مشابه عبر Salesloft.

وتتألف المجموعة من اندماج عدة فرق قرصنة ناطقة بالإنجليزية مثل ShinyHunters، Scattered Spider، وLapsus$، والمعروفة بسلسلة من الهجمات القائمة على الهندسة الاجتماعية ضد شركات كبرى مثل MGM Resorts وCoinbase وDoorDash خلال السنوات الأخيرة. (İLKHA)