أعلنت شركة الأمن السيبراني Zscaler أنها تعرضت لاختراق بيانات بعد أن تمكن مهاجمون من الوصول إلى بيئة Salesforce الخاصة بها وسرقة معلومات تخص العملاء، بما في ذلك محتويات بعض قضايا الدعم.
الهجوم جاء نتيجة لاختراق منصة Salesloft Drift، وهي وكيل محادثة يعمل بالذكاء الاصطناعي ومتكامل مع Salesforce، حيث استغل المهاجمون الرموز المميزة (OAuth وRefresh tokens) للوصول إلى بيئات العملاء وسحب بيانات حساسة.
وذكرت Zscaler في بيانها أن هذا الاختراق منح المهاجمين وصول محدود إلى بعض معلوماتها المخزنة في Salesforce فقط، دون أن يؤثر على منتجاتها أو خدماتها أو بنيتها التحتية.
تفاصيل البيانات المسربة وإجراءات الاستجابة التي اتخذتها Zscaler لاحتواء المخاطر
أوضحت الشركة أن البيانات التي تعرضت للكشف تشمل:
- الأسماء
- عناوين البريد الإلكتروني المهنية
- المسميات الوظيفية
- أرقام الهواتف
- تفاصيل الموقع أو المنطقة
- بيانات تراخيص ومنتجات Zscaler التجارية
- محتويات بعض قضايا الدعم
وأكدت Zscaler أنها لم ترصد أي استخدام ضار لهذه البيانات حتى الآن، لكنها حذرت العملاء من محاولات التصيد الاحتيالي أو الهندسة الاجتماعية التي قد تستغل هذه المعلومات. كما اتخذت الشركة عدة إجراءات فورية منها:
- إلغاء جميع تكاملات Salesloft Drift مع Salesforce
- تدوير رموز API الأخرى
- تعزيز بروتوكولات التحقق من هوية العملاء عند تلقي اتصالات دعم، لمنع هجمات الهندسة الاجتماعية
- دور مجموعة UNC6395 وتحذيرات غوغل من استهداف بيانات الاعتماد عبر قضايا الدعم
حذرت وحدة الاستخبارات التهديدية في غوغل (GTIG) من أن المجموعة المعروفة بـUNC6395 تقف وراء هذه الحملة، حيث تسعى لسرقة بيانات اعتماد حساسة مثل مفاتيح الوصول إلى Amazon Web Services (AWS) وكلمات المرور والرموز المميزة الخاصة بـSnowflake.
وأشارت غوغل إلى أن المهاجمين أظهروا وعي أمني من خلال حذف استعلامات المهام لإخفاء نشاطهم، لكن السجلات لم تتأثر وما زالت قابلة للمراجعة للكشف عن آثار تسريب البيانات.
توسع نطاق الاختراق وربطه بهجمات ShinyHunters على Salesforce
اتضح لاحقاً أن هجوم سلسلة التوريد هذا لم يقتصر على تكامل Drift مع Salesforce، بل شمل أيضاً Drift Email الذي يُستخدم لإدارة الردود البريدية وتنظيم قواعد بيانات CRM والتسويق. كما أكدت غوغل أن المهاجمين استخدموا الرموز المسروقة للوصول إلى حسابات Google Workspace وقراءة رسائل البريد الإلكتروني.
وقد علقت كل من غوغل وSalesforce تكاملات Drift بشكل مؤقت حتى انتهاء التحقيق.
ويرى بعض الباحثين أن اختراق Salesloft Drift يرتبط بهجمات سابقة نسبت إلى مجموعة ShinyHunters التي استهدفت بيانات Salesforce. ومنذ بداية العام، شن المهاجمون هجمات هندسة اجتماعية تضمنت الاتصال الهاتفي (vishing) لخداع الموظفين وربط تطبيقات OAuth خبيثة ببيئات Salesforce الخاصة بشركاتهم. ومن خلال هذا الرابط، تمكنوا من تحميل قواعد البيانات واستخدامها لاحقاً في حملات ابتزاز.
قائمة الشركات المتأثرة بالهجمات
منذ يونيو، أبلغت عدة شركات كبرى عن تعرضها لاختراقات مشابهة، من بينها:
- غوغل
- سيسكو (Cisco)
- Farmers Insurance
- Workday
- Adidas
- Qantas
- Allianz Life
- شركات LVMH: Louis Vuitton وDior وTiffany & Co
