كشفت مجموعة الابتزاز Scattered LAPSUS$ Hunters عن تسريب ملايين السجلات التي صرحت أنها حصلت عليها من حملة استهدفت عملاء Salesforce، بما في ذلك بيانات شركات عالمية كبرى مثل Albertsons وEngie Resources وFujifilm وGAP وQantas وخطوط فيتنام الجوية.
المجموعة، التي تعد فرعاً من تحالف مجموعات Lapsus$ وScattered Spider وShinyHunters، أعلنت سابقاً سرقة بيانات من 39 عميلاً لشركة Salesforce وهددت بنشرها ما لم تدفع الشركة فدية مالية.
لكن Salesforce أكدت أن التهديدات تتعلق بحوادث قديمة أو غير مثبتة ورفضت دفع أي مبالغ، لترد المجموعة بنشر بيانات مزعومة على موقعها في شبكة Tor، ثم وزعت روابطها لمستخدمين مدفوعي الأجر في منتدى على الويب العادي، قبل أن تتيحها مجاناً على موقع آخر في الإنترنت المفتوح.
بيانات ضخمة وتداعيات قانونية
من بين الضحايا، أكدت شركة Qantas الأسترالية، التي حصلت على أمر قضائي لحجب الوصول إلى البيانات المسروقة، أنها تعمل مع خبراء أمن سيبراني لتحليل التسريب. وأوضحت أن الحادثة تعود إلى يوليو الماضي عندما استهدف المهاجمون منصة طرف ثالث تستخدم في أحد مراكز الاتصال التابعة لها، ما أدى إلى تسرب بيانات نحو 6 ملايين عميل تشمل الأسماء وعناوين البريد الإلكتروني وأرقام الهواتف وتواريخ الميلاد وأرقام العضوية في برنامج المسافرين الدائمين.
وقالت الشركة في بيان: “أخطرنا في يوليو جميع العملاء المتأثرين بمحتوى بياناتهم الشخصية في النظام المتأثر، ولم يطرأ أي تغيير على ذلك حتى الآن”.
ووفق منصة Have I Been Pwned، فقد نشرت المجموعة أيضاً بيانات تتعلق بنحو 7.3 ملايين حساب تابعة لخطوط فيتنام الجوية، ويعتقد أنها سرقتها من بيئة Salesforce الخاصة بالشركة في يونيو الماضي، وتشمل بيانات الهوية والبريد الإلكتروني وأرقام الهواتف وتفاصيل برامج الولاء.
غموض حول حجم التسريب ودوافعه
رغم إعلان المجموعة سرقة بيانات 39 جهة، لم تسرب سوى بيانات 6 ضحايا فقط، فيما زعمت عبر قناتها في تلغرام بعدم قدرتها على تسريب المزيد. وأشارت تقارير إلى أن بعض الضحايا دفعوا فدية للمجموعة لكنهم طلبوا الإبقاء على أسمائهم ضمن موقع التسريب لحماية أنفسهم، وهي رواية لم تثبت صحتها.
ولم تتضح بعد الأسباب التي دفعت المجموعة لتسريب بيانات عدد محدود من الضحايا فقط، إذ اعتادت مجموعات مشابهة سابقاً على المبالغة في حجم البيانات المسروقة لأغراض دعائية.
وفي حادثة منفصلة الأسبوع الماضي، ادعت المجموعة نفسها سرقة 19 مليون سجل شخصي من شركة الاتصالات الأسترالية Telstra، لكن الشركة نفت ذلك تماماً موضحة أن البيانات مأخوذة من مصادر عامة وليست من أنظمتها الداخلية، وأنها لا تحتوي على كلمات مرور أو بيانات مالية أو أرقام تعريف شخصية مثل رخص القيادة أو أرقام Medicare.
