ذكرت تقارير أن شركة الأمن السيبراني CrowdStrike، ومقرها تكساس، طردت موظفًا متهمًا بتسريب معلومات داخلية إلى عصابة جرائم إلكترونية أعلنت مؤخرًا مسؤوليتها عن خروقات مؤسسية تتعلق بأنظمة متصلة بـ Salesforce.
طردت شركة الأمن الموظف الداخلي بعد اكتشاف تعاونه مع المجموعة المعروفة باسم Scattered Lapsus$ Hunters، والتي بدأت في نشر لقطات شاشة داخلية مزعومة في وقت متأخر من ليلة الخميس وصباح الجمعة على قناتها على Telegram.
نشر موقع Scattered Lapsus$ عدة صور تُظهر لوحات معلومات مرتبطة بموارد الشركة، بما في ذلك لوحات Okta التي يستخدمها الموظفون للوصول إلى التطبيقات الداخلية. زعم المخترقون أن لقطات الشاشة التقطها الموظف المُخترق، وأنها دليل على نجاحهم في اختراق CrowdStrike بعد اختراق Gainsight في وقت سابق من هذا الأسبوع.
لا تزال شركتا CrowdStrike وGainsight تحققان في المعلومات المسروقة.
وبحسب شركة CrowdStrike، فإن ادعاءات مجموعة القراصنة وصور Telegram كانت مملوكة حصريًا لموظف شارك صورًا غير مصرح بها لشاشته مع أطراف خارجية، وتصر الشركة على عدم وجود أي خروقات لأنظمتها.
صرح المتحدث باسم الشركة، كيفن بيناتشي، لموقع تك كرانش قائلاً: "لم تُخترق أنظمتنا قط، وظل عملاؤنا محميين طوال الوقت". وأضاف أن الشركة "أحالت الأمر إلى الجهات القانونية المختصة" بعد منع وصول هذا الشخص.
وقالت شركة "كراود سترايك" إنها ملأ مكتب الموظف بمجرد التأكد من أنه "شارك صورًا لشاشة جهاز الكمبيوتر الخاص به خارجيًا"، وأن الادعاءات المتداولة على قنوات القراصنة كانت "كاذبة".
Salesforce تؤكد حدوث خرق لبيانات العملاء
صباح يوم الجمعة، حدّثت شركة Salesforce صفحة الحوادث، مشيرةً إلى أن اختراقًا أثر على بعض عملائها، مسببًا "أخطاء اتصال". وقد تمكن أفراد غير مصرح لهم من الوصول إلى "بيانات Salesforce الخاصة بعملاء معينين"، مع العلم أنه لم يتم تحديد الجهات المتضررة.
وقالت شركة Salesforce إن عملية الاختراق حدثت من خلال تطبيقات طورتها شركة Gainsight المتخصصة في تحليل البيانات ودعم العملاء.
وفي وقت لاحق، قال أوستن لارسن من Threat Intelligence Group في جوجل، وهو محلل التهديدات الرئيسي في قسم الأمن السيبراني، إن الشركة "على علم بأكثر من 200 حالة من حالات Salesforce المتأثرة المحتملة".
أعلن صائدو Lapsus$ المتفرقون علنًا مسؤوليتهم عن الوصول إلى البيانات من خلال تكاملات Gainsight واستخدام المعلومات المسروقة لاستهداف عملاء مؤسسيين آخرين.
وتفاخر متحدث باسم ShinyHunters، إحدى المجموعات داخل المجموعة، بأن "شركة Gainsight كانت عميلاً لشركة Salesloft Drift، وقد تأثرت بها وبالتالي تعرضت للخطر بالكامل من قبلنا".
نشرت شركة Gainsight تحديثات على صفحة الحوادث الخاصة بها منذ الإعلان عن الهجوم. ويوم الجمعة، أعلنت الشركة أنها تعاقدت مع وحدة الاستجابة للحوادث التابعة لشركة Google، Mandiant، للتحقيق في الاختراق.
وفقًا للتحديثات العامة للشركة، قامت Salesforce أيضًا بإلغاء رموز الوصول النشطة مؤقتًا للتطبيقات المرتبطة بـ Gainsight كإجراء احترازي، بالإضافة إلى إخطار العملاء الذين تمت سرقة بياناتهم.
قد يجد مستخدمو Hubspot أن تطبيق Gainsight قد أُزيل مؤقتًا من سوق Hubspot كإجراء احترازي. وقد يؤثر هذا أيضًا على وصول OAuth لاتصالات العملاء أثناء المراجعة. سنعمل مع Hubspot لإعادة إصداره بعد مراجعة شاملة، وفقًا لتقرير تقدم نُشر يوم الخميس.
عائلة Lapsus$ المترابطة بشكل فضفاض مسؤولة عن العديد من الخروقات البارزة
مجموعة "صائدو لابسوس$ المتناثرون" هي نتاج تعاون بين عدة مجموعات جرائم إلكترونية ناطقة باللغة الإنجليزية، منها "شينيهنترز" و"سكاترِد سبايدر" و"لابسوس$". اشتهرت المجموعة باستخدام أساليب الهندسة الاجتماعية لخداع الموظفين ودفعهم للكشف عن معلومات تسجيل الدخول، أو منحهم إمكانية الوصول عن بُعد، أو الموافقة على طلبات المصادقة.
استهدفت المجموعة بالفعل منتجعات MGM، وكوين بيس، ودور داش، وورك داي، وأفلاك للتأمين ، وغيرها من الشركات الكبرى في قائمة "الغزوات". في أكتوبر، ادعى صائدو لابسوس$ المتناثرون سرقة أكثر من مليار سجل من شركات تستخدم سيلزفورس لإدارة معلومات العملاء.
أصدروا دليلًا مسربًا للبيانات من شركة التأمين Allianz Life، وشركة الطيران Qantas، وشركة تصنيع السيارات Stellantis، وTransUnion، ومنصة إدارة الموظفين Workday، وغيرها.
على مدار العام ونصف العام الماضيين، أعلنت عائلة Scattered Lapsus$ أيضًا مسؤوليتها عن الحوادث في Atlassian، وDocuSign، وF5، وGitLab، وLinkedIn، وMalwarebytes، وSonicWall، وThomson Reuters، وVerizon.
وأوضح القراصنة عبر قناتهم على تطبيق تيليجرام أنهم يخططون لإطلاق موقع ابتزاز جديد الأسبوع المقبل للشركات المستهدفة في عمليتهم الأخيرة.
وقال المتسللون لموقع DataBreaches.net: "سيحتوي موقع تسريب البيانات التالي على بيانات من حملات Salesloft وGainSight".
احصل على 50 دولارًا مجانًا لتداول العملات المشفرة عند التسجيل الآن على Bybit