تسريبات البيانات

اختراق جديد يطال مئات من عملاء Salesforce بسبب ثغرة من طرف ثالث

تكشف التحقيقات أن الهجوم مشابه لاختراق سابق عبر Salesloft Drift ويستهدف نفس البنية

تم النشر في Nov. 21, 2025

اختراق جديد يطال مئات من عملاء Salesforce بسبب ثغرة من طرف ثالث — اختراق جديد يكشف هشاشة سلاسل التوريد الرقمية ويعيد طرح تساؤلات حول سلامة الربط بين خدمات SaaS.

أعلنت شركة Salesforce عن وقوع حادث أمني جديد أثر على عدد كبير من عملائها بسبب ثغرة في أحد الأطراف الثالثة، محذرة في بيان أمني بأنها رصدت نشاطاً غير معتاد في تطبيقات Gainsight المتصلة ببيئات العملاء داخل منصة Salesforce.

وفقاً لما صرح به أوستن لارسن، المحلل الرئيسي في Google Threat Intelligence Group، فإن المجموعة على علم بأكثر من 200 حالة قد تكون متأثرة بهذا الاختراق. ويبدو أن هذا الهجوم يشترك في سماته التقنية مع حملة قرصنة سابقة استهدفت أكثر من 700 جهة كانت قد دمجت أدوات Salesloft Drift مع Salesforce قبل أقل من شهرين.

وبحسب التحليلات الأولية، فإن المهاجمين يقفون خلف كل من هجوم Gainsight وSalesloft Drift، ويرجح أن المجموعة المعروفة باسم ShinyHunters أو UNC6240 هي المسؤولة عنهما، وهي ذاتها مرتبطة بهجمات سابقة استهدفت بيئات Salesforce وذكر فيها اسم مجموعة UNC6040.

اتخذت Salesforce إجراءات فورية تمثلت في إلغاء صلاحيات الوصول للرموز المميزة التي تستخدم لربط خدمات الطرف الثالث بمنصتها. وقالت الشركة في تحذيرها الأمني إن هذا النشاط ربما أتاح وصولاً غير مصرح به إلى بيانات بعض العملاء، مشيرة إلى أن الحادث لم ينتج عن ثغرة في منصة Salesforce نفسها، بل يعود إلى خلل في الاتصال الخارجي بين التطبيقات المصابة وSalesforce.

لم تفصح الشركة عن توقيت أو كيفية اكتشاف النشاط غير الاعتيادي، ورفض المتحدث الرسمي الإدلاء بمزيد من التفاصيل، مكتفياً بالإشارة إلى أن صفحة الأمان على موقع الشركة سيتم تحديثها بمعلومات إضافية وإرشادات للعملاء في الوقت المناسب.

من غير المعروف بعد عدد الجهات المتضررة من خلال أداة Gainsight، علماً أن المنصة تخدم نحو 1,000 عميل من بينهم مؤسسات كبرى في قطاع التكنولوجيا. Gainsight من جهتها أصدرت أول تنبيه علني على صفحتها الخاصة بحالة النظام، وأكدت في تحديث لاحق أنها تتعاون عن كثب مع Salesforce للتحقيق في مصدر النشاط غير المعتاد الذي أدى إلى إلغاء صلاحيات التطبيقات المنشورة من قبل Gainsight.

وأوضحت الشركة أن تطبيق Gainsight تم سحبه مؤقتاً أيضاً من سوق Hubspot، مشيرة إلى أن هذا الإجراء الاحترازي قد يؤثر على صلاحيات OAuth الخاصة بالاتصال مع تلك المنصة، لكنها أكدت أنه لم يتم رصد أي نشاط مشبوه على Hubspot حتى الآن.

في ظل غياب تأكيدات حول مدى الضرر الكامل، يُعتقد أن الخرق قد يمتد إلى أي خدمة مرتبطة بمنصة Gainsight، وليس فقط Salesforce. وكان باحثو أمن Google قد أوضحوا في أغسطس الماضي، عند التحقيق في هجمات Salesloft Drift، أن أي مستخدم دمج منصة الذكاء الاصطناعي مع خدمات أخرى قد يكون معرضاً للاختراق.

وما يزيد من تعقيد الوضع هو أن Gainsight نفسها كانت بين المتضررين من الهجوم السابق الذي استخدم Salesloft Drift كنقطة اختراق، مما يثير تساؤلات حول سلامة البنية الأمنية للمزودين الخارجيين.

ولم تكشف Gainsight حتى الآن كيف تم تسريب رموز الوصول الخاصة بعملائها. أما Salesloft فقد عزت الهجوم الذي تعرّضت له إلى مجموعة تهديد تمكنت من الوصول إلى حسابها على GitHub منذ مارس الماضي، وبقيت كامنة داخل بيئة التطبيق لعدة أشهر قبل أن تنفّذ الهجوم على مئات الجهات خلال فترة لم تتجاوز عشرة أيام في منتصف أغسطس.