كشفت شركة جوجل أن الهجمات الأخيرة التي استهدفت بيئات Salesforce عبر منصة Salesloft Drift أوسع نطاقا مما كان يُعتقد، إذ تؤثر على جميع التكاملات، وليس Salesforce فقط. وقال فريق استخبارات التهديدات في جوجل (GTIG) بالتعاون مع Mandiant في تحذير محدث: “ننصح جميع عملاء Salesloft Drift باعتبار جميع رموز المصادقة المخزنة أو المرتبطة بالمنصة على أنها معرضة للاختراق.”
وأضافت جوجل أن المهاجمين استخدموا رموز OAuth المسروقة للوصول إلى البريد الإلكتروني لعدد محدود من حسابات Google Workspace في 9 أغسطس 2025، بعد اختراق الرموز الخاصة بتكامل “Drift Email”. وأكدت الشركة أن الحادث لا يمثل خرقا في Google Workspace أو Alphabet نفسها، بل اقتصر على الحسابات التي تم تهيئتها خصيصا للتكامل مع Salesloft. وأوضحت أن المهاجمين لم يكن لديهم القدرة على الوصول إلى أي حسابات أخرى ضمن نطاق العملاء.
إجراءات استجابة عاجلة وتعطيل تكاملات Salesloft
أعلنت جوجل أنها سارعت إلى إخطار المستخدمين المتأثرين، وألغت صلاحيات الرموز الخاصة بتطبيق Drift Email، كما عطلت وظيفة التكامل بين Google Workspace وSalesloft Drift، وذلك في إطار التحقيق الجاري. وحثت المؤسسات على مراجعة جميع التكاملات الخارجية المرتبطة بـ Drift، وإلغاء وإعادة تدوير بيانات الاعتماد الخاصة بها، والتحقق من الأنظمة المتصلة لرصد أي علامات وصول غير مصرح به.
ويأتي توسيع نطاق التحذير بعد أيام من كشف جوجل عن حملة سرقة بيانات واسعة النطاق نفذتها مجموعة تهديد ناشئة أُطلق عليها اسم UNC6395، استغلت رموز OAuth المخترقة المرتبطة بـ Drift لاستهداف بيئات Salesforce خلال الفترة من 8 إلى 18 أغسطس 2025.
من جهتها، أعلنت Salesloft أن Salesforce قامت مؤقتا بتعطيل تكامل Drift مع Salesforce وSlack وPardot، قبل أن تعود لاحقا وتؤكد أن Salesforce “قررت تعطيل جميع تكاملات Salesloft مع Salesforce بشكل مؤقت.” وأوضحت الشركة: “حتى الآن لم يتم رصد أي نشاط ضار في تكاملات Salesloft المرتبطة بحادثة Drift، ولا توجد مؤشرات على أنها مخترقة أو معرضة للخطر.”
