في عالم التكنولوجيا المتطور، تتعرض الشركات لتهديدات متزايدة من قراصنة البيانات. مؤخرًا، أكدت جوجل أن قراصنة قد سرقوا بيانات لأكثر من 200 شركة بسبب اختراق واسع النطاق لشركة Gainsight.
سرقة بيانات من 200 شركة بعد اختراق Gainsight
أكدت جوجل أن قراصنة قد سرقوا بيانات مخزنة في Salesforce لأكثر من 200 شركة في اختراق واسع النطاق لسلسلة التوريد.
تفاصيل الاختراق
في يوم الخميس، أعلنت Salesforce عن اختراق “بعض بيانات عملائها في Salesforce” – دون ذكر الشركات المتأثرة – التي سُرقت عبر تطبيقات نشرتها Gainsight، التي تقدم منصة دعم العملاء لشركات أخرى.
في بيان، قال أوستن لارسون، المحلل الرئيسي للتهديدات في مجموعة جوجل للاستخبارات، إن الشركة “على علم بأكثر من 200 حالة Salesforce محتملة التأثر”.
المسؤولية عن الاختراق
بعد إعلان Salesforce عن الاختراق، ادعت مجموعة قراصنة معروفة تُعرف باسم Scattered Lapsus$ Hunters، والتي تشمل عصابة ShinyHunters، المسؤولية عن الاختراقات في قناة تيليجرام، التي شاهدتها TechCrunch.
ادعت مجموعة القراصنة المسؤولية عن اختراقات تؤثر على Atlassian وCrowdStrike وDocusign وF5 وGitLab وLinkedin وMalwarebytes وSonicWall وThomson Reuters وVerizon.
ردود الفعل من الشركات المتأثرة
لم تعلق جوجل على الضحايا المحددين.
قال المتحدث باسم CrowdStrike كيفن بيناتشي لـ TechCrunch إن الشركة “لم تتأثر بمشكلة Gainsight وجميع بيانات العملاء تظل آمنة”. أكدت CrowdStrike لـ TechCrunch أنها أنهت “موظفًا مشبوهًا” بتهمة تمرير المعلومات إلى القراصنة.
تواصلت TechCrunch مع جميع الشركات المذكورة من قبل Scattered Lapsus$ Hunters.
قال المتحدث باسم Verizon كيفن إسرائيل في بيان إن “Verizon على علم بالادعاء غير المثبت من قبل المهاجم”، دون تقديم دليل على هذا الادعاء.
قالت المتحدثة باسم Malwarebytes آشلي ستيوارت لـ TechCrunch إن فريق الأمان في الشركة “على علم” بمشاكل Gainsight وSalesforce و”يحقق بنشاط في الأمر”.
التحقيقات الجارية
قال متحدث باسم Thomson Reuters إن الشركة “تجري تحقيقًا نشطًا”.
قال مايكل آدامز، كبير مسؤولي الأمن المعلوماتي في Docusign، لـ TechCrunch في بيان إن “بعد تحليل شامل للسجلات والتحقيق الداخلي، ليس لدينا أي مؤشر على تعرض بيانات Docusign للخطر في الوقت الحالي”. ومع ذلك، قال آدامز، “من باب الاحتياط، اتخذنا عددًا من التدابير بما في ذلك إنهاء جميع تكاملات Gainsight واحتواء تدفقات البيانات المتعلقة بها”.
في وقت النشر، لم ترد أي من الشركات الأخرى على طلبات التعليق.
أساليب القراصنة
أخبر قراصنة مجموعة ShinyHunters TechCrunch في دردشة عبر الإنترنت أنهم حصلوا على الوصول إلى Gainsight بفضل حملتهم السابقة التي استهدفت عملاء Salesloft، التي تقدم منصة تسويق مدعومة بالذكاء الاصطناعي والدردشة تسمى Drift. في تلك الحالة السابقة، سرق القراصنة رموز المصادقة الخاصة بـ Drift من هؤلاء العملاء، مما سمح لهم باختراق حالات Salesforce المرتبطة بهم وتنزيل محتوياتها.
في ذلك الوقت، أكدت Gainsight أنها كانت من بين ضحايا تلك الحملة.
قال متحدث باسم مجموعة ShinyHunters لـ TechCrunch: “كانت Gainsight عميلًا لـ Salesloft Drift، وقد تأثرت وبالتالي تعرضت للاختراق بالكامل من قبلنا”.
قال المتحدث باسم Salesforce نيكول أرندا لـ TechCrunch إن “سياسة Salesforce تقضي بعدم التعليق على قضايا العملاء المحددة”.
لم ترد Gainsight على طلبات TechCrunch للتعليق.
الإجراءات الوقائية
في يوم الخميس، قالت Salesforce إنه “لا يوجد مؤشر على أن هذه المشكلة نتجت عن أي ثغرة في منصة Salesforce”، مما يبعد نفسها عن اختراقات بيانات عملائها.
تقوم Gainsight بنشر تحديثات حول الحادث على صفحتها الخاصة بالحادث. في يوم الجمعة، قالت الشركة إنها تعمل الآن مع وحدة استجابة الحوادث في Google Mandiant للمساعدة في التحقيق في الاختراق، وأن الحادث المعني “نشأ من الاتصال الخارجي للتطبيقات – وليس من أي مشكلة أو ثغرة داخل منصة Salesforce”، وأن “التحليل الجنائي مستمر كجزء من مراجعة شاملة ومستقلة”.
“قامت Salesforce مؤقتًا بإلغاء رموز الوصول النشطة لتطبيقات Gainsight المتصلة كإجراء احترازي بينما يستمر التحقيق في النشاط غير العادي”، وفقًا لصفحة الحادث الخاصة بـ Gainsight، التي قالت إن Salesforce تقوم بإخطار العملاء المتأثرين الذين سُرقت بياناتهم.
في قناتها على تيليجرام، قالت Scattered Lapsus$ Hunters إنها تخطط لإطلاق موقع مخصص لابتزاز ضحايا حملتها الأخيرة بحلول الأسبوع المقبل. هذه هي طريقة عمل المجموعة؛ في أكتوبر، نشر القراصنة أيضًا موقع ابتزاز مشابه بعد سرقة بيانات ضحاياهم من Salesforce في حادث Salesloft.
تتكون مجموعة Scattered Lapsus$ من قراصنة يتحدثون الإنجليزية يتألفون من عدة عصابات إجرامية إلكترونية، بما في ذلك ShinyHunters وScattered Spider وLapsus$، حيث يستخدم أعضاؤها أساليب الهندسة الاجتماعية لخداع موظفي الشركات لمنح القراصنة الوصول إلى أنظمتهم أو قواعد بياناتهم. في السنوات القليلة الماضية، ادعت هذه المجموعات عدة ضحايا بارزين، مثل MGM Resorts وCoinbase وDoorDash والمزيد.
تم تحديث هذه القصة لتشمل تعليقات من Docusign وThomson Reuters وVerizon.
مع استمرار التحقيقات، يبقى السؤال: كيف يمكن للشركات حماية بياناتها من هذه التهديدات المتزايدة؟
