به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این ابزار هوش مصنوعی که سال گذشته توسط سیلزلافت (Salesloft) خریداری شد، معمولاً برای اتصال به سیستمهای ذخیرۀ داده در سیلزفورس (Salesforce) استفاده میشود.
طبق هشدار تیم امنیتی ماندیانت (Mandiant)، هکرهایی با نام رمز UNC6395 بین ۸ تا ۱۸ اوت ۲۰۲۴ حجم زیادی از دادهها را از نمونههای سیلزفورس سازمانهای مختلف استخراج کردهاند.
هدف اصلی، دسترسی به اطلاعات حساسی مانند کلیدهای دسترسی به خدمات وب آمازون (AWS) و توکنهای اسنوفلیک (Snowflake) بوده است.
سیلزلافت تأیید کرد که مهاجمان با استفاده از اعتبارنامههای سرقتی به دادههای مشتریان دست یافتهاند.
در پی این رخداد، شرکت دریفت (Drift) به حالت آفلاین درآمده و یکپارچگی آن با سیلزفورس متوقف شد.
با این حال، سیلزلافت اعلام کرد شواهدی از فعالیت مخرب مستقیم در پلتفرم خود نیافته است.
کلودفلیر (Cloudflare) در گزارشی نوشت که مهاجمان با سوءاستفاده از این زنجیرۀ تأمین توانستهاند به اطلاعاتی مانند موضوع و متن تیکتهای پشتیبانی، دادههای تماس مشتریان و برخی جزئیات فنی دست یابند.
این شرکت ۱۰۴ توکن API خود را کشف و همگی را غیرفعال کرده و به مشتریان آسیبدیده هشدار داده است تا اعتبارنامههای احتمالی لو رفته را تغییر دهند.
با این حال، زیرساخت اصلی کلودفلیر دچار آسیب نشده است.
زی اسکیلر (Zscaler) نیز اعلام کرد دادههای تماس مشتریان، اطلاعات صدور مجوز محصولات و برخی محتوای پروندههای پشتیبانی لو رفته است.
شرکت پالو آلتو نتوورکس (Palo Alto Networks) نیز تأیید کرد بخشی از دادههای فروش و اطلاعات مشتریانش مورد دسترسی غیرمجاز قرار گرفته و اقدامات اصلاحی در حال انجام است.
گوگل که از ابتدا روند حمله را پیگیری میکرد، هشدار داد بیش از ۷۰۰ شرکت ممکن است قربانی این کمپین شده باشند.
تحقیقات نشان داد که بخشی از حسابهای ورک اسپیس (Workspace) متصل به دریفت نیز هدف قرار گرفتهاند، هرچند هیچ دسترسی به سایر حسابهای گوگل یا آلفابت رخ نداده است.
این شرکت به همه مشتریان دریفت توصیه کرد تمامی توکنهای ذخیرهشده در این پلتفرم را بالقوه آلوده در نظر بگیرند.
کارشناسان امنیتی میگویند این حادثه بار دیگر نشان میدهد که یکپارچگی ابزارهای جانبی با سامانههای سازمانی، ریسکهای زنجیرهای گستردهای ایجاد میکند و هر نقطۀ ضعف میتواند صدها شرکت را به طور همزمان در معرض خطر قرار دهد.
