تكشف مجموعة Google Threat Intelligence Group عن وجود أكثر من 200 حالة محتملة بين عملاء Salesforce قد تأثروا بالحادث. وتوضح أن الهجوم استغل تطبيقات Gainsight للوصول إلى بيانات المؤسسات، دون الكشف عن هوية الشركات المتضررة بشكل رسمي. وتؤكد Salesforce أن منصتها ليست بها ثغرة مرتبطة بالحادث، وأن الخرق جرى عبر تطبيق خارجي، فيما أعلنت Gainsight أنها ألغت رموز الوصول الخاصة بتطبيقاتها لتقليل التأثير.
جهات ضالعة وتبعاتها
أعلنت مجموعة Scattered Lapsus$ Hunters عبر قناة في تطبيق تيليجرام أنها نفذت الهجوم على شركات كبرى تشمل Atlassian وCrowdStrike وDocusign وF5 وGitLab وLinkedIn وMalwarebytes وSonicWall وThomson Reuters وVerizon. لكن بعض الضحايا المزعومين نفوا التعرض للأذى؛ فأكدت CrowdStrike أن بياناتها آمنة، كما أكدت Verizon اطلاعها على ادعاءات غير مدعومة، وأوضحت Docusign عدم رصد أي اختراق في أنظمتها بعد التحقيقات.
سلسلة الحوادث وتداعياتها
تكشف ShinyHunters عبر تك كرانش أن الوصول إلى Gainsight كان نتيجة حملة اختراق سابقة استهدفت عملاء Salesloft، التي توفر Drift للدردشة وروبوتات التسويق. وفي تلك الحملة سرق القراصنة رموز مصادقة Drift، ما أتاح لهم الوصول إلى خوادم Salesforce المرتبطة بعملائها. وتقر Gainsight بأنّها كانت من بين ضحايا تلك الحملة، ما يوحي بسلسلة اختراقات متتابعة أدت إلى الحادث الأخير.
موقف الشركات والتعاون
أعلنت Salesforce أن لا وجود لثغرة في منصاتها مرتبطة بالحادث، مؤكدة أن الخرق جاء عبر تطبيق خارجي، وبناء عليه قامت Gainsight بإلغاء رموز وصول خاصة بتطبيقات Gainsight كإجراء لتقليل الضرر. وتعاونت Gainsight مع فريق الاستجابة للحوادث لدى Google مع Mandiant لإجراء تحليل جنائي شامل، مع توضيح أن الاختراق نشأ من اتصال خارجي لا يتعلق بثغرة في Salesforce نفسها.
تحركات ابتزاز محتملة
أعلنت مجموعة Scattered Lapsus$ Hunters عبر تيليجرام عن عزمها إطلاق موقع ابتزاز يستهدف ضحايا الحادث خلال الأسبوع المقبل. تعتبر هذه خطوة جديدة في أساليب الابتزاز المرتبطة بحملات الاختراق. تتكون المجموعة من عِصابات بارزة مثل ShinyHunters وScattered Spider وLapsus$ وتعتمد بشكل رئيسي على الهندسة الاجتماعية للوصول إلى بيانات الاعتماد. سبق لهذه العصابات أن ألحقت أضرارًا بضحايا كبار مثل MGM Resorts وCoinbase وDoorDash.
