أطلق تحالف يسمي نفسه Scattered Lapsus$ Hunters موقعاً لنشر بيانات مسروقة على شبكة الويب المظلم خلال عطلة نهاية الأسبوع. في محاولة لابتزاز مؤسسات قالت المجموعة إنها استخرجت بياناتها من قواعد بيانات Salesforce عبر هجمات هندسة اجتماعية على حسابات موظفين وشركاء.
تضم قائمة الضحايا المنشورة 39 شركة شملت علامات تجارية ومؤسسات كبرى من قطاعات متعددة، تضمنت كلاً من:
- Toyota
- FedEx
- Disney/Hulu
- Republic Services
- UPS
- AeroMexico
- Home Depot
- Marriott
- Vietnam Airlines
- Walgreens
- Stellantis
- McDonald’s
- KFC
- ASICS
- GAP
- MHM
- Fujifilm
- Instructure.com – Canvas
- Albertsons
- Engie Resources
- Kering (Gucci, Balenciaga, Brioni, Alexander McQueen)
- HBO Max
- Instacart
- Petco
- Puma
- Cartier
- Adidas
- TripleA
- Qantas Airways
- CarMax
- Saks Fifth (Avenue)
- 1-800Accountant
- AirFrance & KLM
- Google Adsense
- Cisco
- Pandora
- TransUnion
- Chanel
- IKEA
أظهرت العينات أن البيانات المسروقة تضم في معظمها معلومات شخصية، ووسائل اتصال تخص عملاء وموظفين وشركاء الشركات المتأثرة. وفي حالات محددة احتوت التسريبات على أرقام حسابات، وتواريخ ميلاد، وأرقام جواز سفر، وأرقام الضمان الاجتماعي، وبيانات مشتريات، ونصوص محادثات مباشرة مع خدمة العملاء، وغيرها من عناصر البيانات الحساسة.
أشار خبراء التسريبات إلى أن مثل هذه البيانات تستخدم لاحقاً في حملات تصيد متطورة وعمليات هندسة اجتماعية تستهدف موظفي المؤسسات وعملاءها، كما يمكن أن تستخدم معلومات المشتريات الراقية لتجميع قوائم أهداف ذات قيمة للاختراق والاحتيال. كما لفتت ملاحظات إلى أن بعض البيانات التي تبدو عادية قد تعرض أشخاصاً لمخاطر سياسية أو شخصية عند نشرها وربطها بأسماء محددة.
أعطت المجموعة مهلة حتى 10 أكتوبر 2025 للشركات المتضررة للتواصل عبر البريد الإلكتروني المؤسسي وبدء تفاوض على فدية، وأصدرت تهديداً مشابهاً موجهاً إلى Salesforce نفسها، قائلة إنها إذا رضخت فلن تستهدف شركات الضحايا في قائمتها. كما هددت المجموعة بالإفراج عن وثائق تدعي إثبات أن Salesforce لم تبذل جهوداً كافية لمنع الوصول غير المصرح به إلى البيانات الشخصية.
ردت Salesforce بإصدار نصيحة أمنية أشارت فيها إلى علمها بمحاولات ابتزاز حديثة قيد التحقيق مع خبراء خارجيين والسلطات. وقالت إن نتائج تحقيقها الأولي تشير إلى أن المطالبات تتعلق بحوادث سابقة أو غير مثبتة، وأنه لا توجد حتى الآن دلائل على اختراق منصة Salesforce نفسها أو على وجود ثغرة تقنية معروفة في منتجاتها. ونصحت عملاءها بتوخي الحذر من محاولات التصيد والهندسة الاجتماعية والتواصل عبر بوابة دعم Salesforce عند الحاجة للمساعدة.
صنفت المجموعة ثلاث إدخالات في موقع التسريبات تحت عنوان عملاء Salesforce لكنها تتعلق بحوادث يقال إنها منفصلة منها، وشملت Credit Institute of Vietnam وS&P Global وRed Hat. وقد أعلنت مجموعة اسمها Crimson Collective مسؤوليتها عن تسريب Red Hat وهو أحدث هذه الادعاءات حتى تاريخه، ولا تزال العلاقة بين Crimson Collective وتحالف Scattered Lapsus$ Hunters غير مؤكدة.
من جهة أخرى، أعلنت المجموعة على قناة تلغرام أنها ستبدأ بحلول نهاية الأسبوع بعملية ابتزاز إضافية تستهدف شركات استخدمت حساباتها عبر رموز OAuth المسروقة من Salesloft Drift، مشيرة إلى نية استغلال بيانات اعتماد مرتبطة بمنصات تكميلية للوصول إلى معلومات إضافية ونشرها ما لم تُدفع مبالغ الفدية.
