Salesloft تُوقف Drift مؤقتًا بعد سرقة رموز OAuth التي أثرت على مئات المؤسسات
المايسترو نيرو - قسم خرق البيانات / الاستخبارات التهديدية
أعلنت شركة Salesloft يوم الثلاثاء عن إيقاف خدمة Drift مؤقتًا "في المستقبل القريب"، وذلك بعد أن وُقعت العديد من الشركات ضحية لهجوم سلسلة توريد واسع النطاق يستهدف منتج البرمجيات كخدمة (SaaS) للتسويق، مما أدى إلى سرقة واسعة النطاق لرموز المصادقة.
"هذا سيوفر أسرع طريق ممكن لمراجعة شاملة للتطبيق وبناء مرونة وأمان إضافيين في النظام لإعادة التطبيق إلى كامل وظائفه،" قالت الشركة. "نتيجة لذلك، لن يكون روبوت الدردشة Drift المتاح على مواقع عملاء الشركة متاحًا، ولن يمكن الوصول إلى Drift."
أضافت الشركة أن أولويتها القصوى هي ضمان سلامة وتأمين أنظمتها وبيانات عملائها، وأنها تعمل مع شركاء أمن سيبراني، من بينهم Mandiant وCoalition، كجزء من جهود استجابتها للحالة الطارئة.
تأتي هذه الخطوة بعد أن كشف كل من مجموعة استخبارات التهديدات من Google (GTIG) وMandiant عن حملة واسعة النطاق لسرقة البيانات، استغلت رموز المصادقة OAuth ورموز التحديث (refresh tokens) المسروقة المرتبطة بوكيل الذكاء الاصطناعي (AI) الخاص بـ Drift لاختراق حالات Salesforce الخاصة بالعملاء.
تم ربط النشاط بمجموعة تهديد تُعرف باسم UNC6395 (أو GRUB1)، وأفادت Google لـ The Hacker News أن أكثر من 700 منظمة قد تكون قد تأثرت بشكل محتمل.
في حين تم التأكيد في البداية أن التعرض كان محدودًا بتكامل Salesloft مع Salesforce، فقد تبين لاحقًا أن أي منصة متكاملة مع Drift قد تكون عُرضة للاختراق. لا يزال من غير المعروف حاليًا كيف تمكن المهاجمون من الحصول على وصول أولي إلى نظام Salesloft Drift.
كما دفع الحادث شركة Salesforce إلى تعطيل جميع تكاملات Salesloft مع Salesforce مؤقتًا كإجراء احترازي. ومن بين الشركات التي أكدت تأثرها بالخرق:
"نعتقد أن هذا الحادث لم يكن حدثًا منعزلاً، بل أن الفاعل التهديدي كان يهدف إلى جمع بيانات الاعتماد والمعلومات الخاصة بالعملاء للهجمات المستقبلية،" قالت Cloudflare. "بالنظر إلى أن مئات المنظمات تأثرت من خلال هذا الاختراق، نشتبه في أن الفاعل التهديدي سيستخدم هذه المعلومات لشن هجمات مستهدفة ضد عملاء المنظمات المتضررة."
آخر تحديث: 7 أكتوبر 2025