بالله أستعين وأصلي وأسلم على سيد الخلق أجمعين سيدنا محمد الهادي الأمين وعلى آله وصحبه والتابعين ومن تبع هداهم بإحسان إلى يوم الدين ...
أما بعد أعزائي الأعضاء و زوار ومرتادي منتدانا :
الاختراقات الأمنية مستمرة، فقد قالت شركة Zscaler إن نسخة Salesforce الخاصة بها تأثرت بهجوم على سلسلة التوريد، مما أدى إلى كشف معلومات العملاء. ... إليكم الخبر:
حذرت شركة الأمن السيبراني Zscaler من أنها تعرضت لاختراق للبيانات بعد أن تمكن الجناة من الوصول إلى مثيل Salesforce الخاص بها وسرقوا معلومات العملاء، بما في ذلك محتويات حالات الدعم.
يأتي هذا التحذير بعد تسوية Salesloft Drift، وهو وكيل دردشة يعمل بالذكاء الاصطناعي يتكامل مع Salesforce، حيث سرق المهاجمون رموز OAuth ورموز التحديث، مما مكنهم من الوصول إلى بيئات Salesforce الخاصة بالعملاء واستخراج البيانات الحساسة.
وفي استشارة، قالت شركة Zscaler إن نسخة Salesforce الخاصة بها تأثرت بهذا الهجوم على سلسلة التوريد، مما أدى إلى كشف معلومات العملاء.
"كجزء من هذه الحملة، تمكنت جهات غير مصرح لها من الوصول إلى بيانات اعتماد Salesloft Drift لعملائها بما في ذلك Zscaler"، كما جاء في استشارة Zscaler.
"بعد مراجعة مفصلة كجزء من تحقيقنا المستمر، قررنا أن بيانات الاعتماد هذه سمحت بوصول محدود إلى بعض معلومات Salesforce الخاصة بـ Zscaler."
تتضمن المعلومات المكشوفة ما يلي:
- أسماء
- عناوين البريد الإلكتروني للشركات
- المسميات الوظيفية
- أرقام الهواتف
- التفاصيل الإقليمية/الموقعية
- ترخيص منتج Zscaler والمعلومات التجارية
- محتوى من حالات دعم معينة
وفي حين تنص شركة Zscaler على أنها لم تكتشف أي إساءة استخدام لهذه المعلومات، فإنها توصي العملاء بالبقاء يقظين ضد هجمات التصيد والهندسة الاجتماعية المحتملة التي قد تستغل هذه المعلومات.
وتقول الشركة أيضًا إنها ألغت جميع عمليات تكامل Salesloft Drift مع مثيل Salesforce الخاص بها، وقامت بتدوير رموز API الأخرى، وتجري تحقيقًا في الحادث.
كما قامت Zscaler بتعزيز بروتوكول مصادقة العملاء الخاص بها عند الرد على مكالمات دعم العملاء للحماية من هجمات الهندسة الاجتماعية.
حذرت Google Threat Intelligence الأسبوع الماضي من أن جهة تهديد، يتم تعقبها باسم UNC6395، تقف وراء الهجمات، وتسرق حالات الدعم لجمع رموز المصادقة وكلمات المرور والأسرار التي يشاركها العملاء عند طلب الدعم.
"لاحظت GTIG أن UNC6395 يستهدف بيانات اعتماد حساسة مثل مفاتيح وصول Amazon Web Services (AWS) (AKIA) وكلمات المرور ورموز الوصول المرتبطة بـ Snowflake." تقارير غوغل.
"أظهر UNC6395 وعيًا أمنيًا تشغيليًا عن طريق حذف مهام الاستعلام، ولكن لم تتأثر السجلات ولا يزال يتعين على المؤسسات مراجعة السجلات ذات الصلة للحصول على أدلة على التعرض للبيانات."
تم الكشف لاحقًا عن أن هجوم سلسلة التوريد Salesloft لم يؤثر فقط على تكامل Drift Salesforce، بل أثر أيضًا على Drift Email، الذي يستخدم لإدارة ردود البريد الإلكتروني وتنظيم قواعد بيانات CRM وأتمتة التسويق.
حذرت غوغل الأسبوع الماضي من أن المهاجمين استخدموا أيضًا رموز OAuth المسروقة الوصول إلى حسابات البريد الإلكتروني لـ Google Workspace وقراءة رسائل البريد الإلكتروني كجزء من هذا الاختراق.
قامت Google وSalesforce بتعطيل عمليات تكامل Drift الخاصة بهما مؤقتًا في انتظار الانتهاء من التحقيق.
أخبر بعض الباحثين BleepingComputer أنهم يعتقدون أن تسوية Salesloft Drift تتداخل مع هجمات سرقة البيانات الأخيرة من Salesforce من قبل مجموعة الابتزاز ShinyHunters.
منذ بداية العام، قامت الجهات الفاعلة في مجال التهديد بتنفيذ هجمات الهندسة الاجتماعية لاختراق مثيلات Salesforce وتنزيل البيانات.
أثناء هذه الهجمات، يقوم الجناة بإجراء عمليات تصيد صوتي (vishing) لخداع الموظفين لربط تطبيق OAuth ضار بمثيلات Salesforce الخاصة بشركتهم.
وبمجرد الربط، استخدم الجناة الاتصال لتنزيل قواعد البيانات وسرقتها، والتي تم استخدامها بعد ذلك لابتزاز الشركة عبر البريد الإلكتروني.
منذ أبلغت غوغل لأول مرة عن الهجمات في شهر يونيو، تم ربط العديد من خروقات البيانات بهجمات الهندسة الاجتماعية، بما في ذلك غوغل نفسها، سيسكو، تأمين المزارعين، يوم عمل، أديداس، كانتاس، حياة أليانز، والشركات التابعة لشركة LVMH لويس فيتون، ديور، و تيفاني وشركاه.
دعواتكم لي بظهر الغيب تكفيني أيها الأحبة.
