أعلنت Salesforce أن لا توجد ثغرة في منصتها مرتبطة بالحادث، وأن الخرق دام عبر تطبيق Gainsight الخارجي وليس في بنية Salesforce الأساسية. وأوضحت أن الدخول تم عبر هذا التطبيق، وتم إيقاف رموز وصول Gainsight مؤقتاً للحد من الضرر. وأشار أوستن لارسن، كبير محللي التهديدات في Google Threat Intelligence Group، إلى أن جوجل على علم بأكثر من 200 حالة محتملة ضمن عملاء Salesforce. وتؤكد Gainsight أنها تتعاون مع فريق Mandiant التابع لجوجل لإجراء تحليل جنائي شامل، وأن الحادث ليس نتيجة لثغرة داخل Salesforce نفسها.
تتبّعات الهجوم ومساره
أعلنت مجموعة Scattered Lapsus$ Hunters عبر قناة في تطبيق Telegram مسؤوليتها عن الهجوم، وتضم عدداً من العصابات الإجرامية المعروفة مثل ShinyHunters. وزعمت المجموعة أن الهجوم استهدف شركات كبرى من بينها Atlassian وCrowdStrike وDocusign وF5 وGitLab وLinkedIn وMalwarebytes وSonicWall وThomson Reuters وVerizon. نفت بعض الجهات المزعوم تعرضها للضرر بصورة قاطعة، فأكدت CrowdStrike أن بياناتها آمنة، وأشارت Verizon إلى وجود ادعاءات غير مدعومة، بينما أكدت Docusign عدم رصد أي اختراق في أنظمتها.
أصول الحادث وتداعياته
كشفت مجموعة ShinyHunters أن الوصول إلى Gainsight جاء نتيجة حملة اختراق سابقة استهدفت عملاء Salesloft التي توفر Drift للدردشة والتسويق الآلي. وفي تلك الحملة، ذكرت المجموعة أنها سرقت رموز المصادقة الخاصة بـ Drift ما أتاح لها الوصول إلى خوادم Salesforce المرتبطة بعملائها. وأقرت Gainsight بأنها من بين ضحايا تلك الحملة، ما يشير إلى سلسلة من الاختراقات تسببت في الحادث الأخير. كما أكدت Salesforce أن الأمر ليس نتيجة ثغرة في منصتها، وأن الخرق حصل عبر تطبيق خارجي، وتعمل Gainsight مع فريق الاستجابة لإجراء تحليل جنائي وتقوم بإلغاء رموز وصول تطبيقات Gainsight كإجراء وقائي.
