أكدت Google أن أ”https://www.bleepingcomputer.com/news/security/google-suffers-data-breach-in-ongoing-salesforce-data-theft-attacks/” الهدف=”_blank” rel=”nofollow noopener”> تم الكشف مؤخرًا عن خرق البيانات من بين مثيلات CRM Salesforce تضمنت معلومات عملاء Google ADS المحتملين.
“We’re writing to let you know about an event that affected a limited set of data in one of Google’s corporate Salesforce instances used to communicate with prospective Ads customers,” يقرأ إخطار خرق البيانات المشترك مع BleepingComputer.
“Our records indicate basic business contact information and related notes were impacted by this event.”
تقول Google إن المعلومات المكشوفة تتضمن أسماء الأعمال وأرقام الهواتف و “related notes” لوكيل مبيعات Google للاتصال بهم مرة أخرى.
تقول الشركة إن معلومات الدفع لم يتم كشفها وأنه لا يوجد أي تأثير على بيانات ADS في حساب ADS ، ومركز التجار ، و Google Analytics ، ومنتجات الإعلانات الأخرى.
تم إجراء الخرق من قبل ممثلي التهديد المعروفين باسم ShinyHunters ، الذين كانوا وراء موجة مستمرة من هجمات سرقة البيانات التي تستهدف عملاء Salesforce.
على الرغم من أن Google لم تشارك عدد الأفراد الذين تأثروا ، إلا أن ShinyHunters يقول إن المعلومات المسروقة تحتوي على حوالي 2.55 مليون سجل بيانات. ليس من الواضح ما إذا كان هناك تكرارات في هذه السجلات.
أخبر ShinyHunters أيضًا BleepingComputer أنهم يعملون أيضًا مع فاعلات التهديدات المرتبطة بـ “العنكبوت المبعثر ، المسؤولون عن الوصول الأولي أولاً إلى الأنظمة المستهدفة.
“Like we have said repeatedly already, ShinyHunters and Scattered Spider are one and the same,” قال ShinyHunters BleepingComputer.
“They provide us with initial access and we conduct the dump and exfiltration of the Salesforce CRM instances. Just like we did with Snowflake.”
يشير الجهات الفاعلة للتهديدات الآن إلى أنفسهم “Sp1d3rHunters,” لتوضيح المجموعة المتداخلة من الأشخاص الذين يشاركون في هذه الهجمات.
كجزء من هذه الهجمات ، يقوم ممثلو التهديدات بإجراء هجمات الهندسة الاجتماعية ضد الموظفين للوصول إلى بيانات الاعتماد أو خداعهم لربط نسخة ضارة من تطبيق OAUTH لبيانات بيانات Salesforce إلى بيئة Salesforce الخاصة بـ Target.
ثم يقوم ممثلو التهديد بتنزيل قاعدة بيانات Salesforce بالكامل وابتزاز الشركات عبر البريد الإلكتروني ، مما يهدد بإصدار البيانات المسروقة إذا لم يتم دفع فدية.
كانت هجمات المبيعات هذه”https://www.bleepingcomputer.com/news/security/google-hackers-target-salesforce-accounts-in-data-extortion-attacks/” الهدف=”_blank” rel=”nofollow noopener”> ذكرت لأول مرة من قبل مجموعة Google That Intelligence Group (GTIG) في يونيو ، مع تعاني الشركة من نفس المصير بعد شهر.
ذكرت databreaches.net أن الجهات الفاعلة التهديد لديها بالفعل”http://databreaches.net/2025/08/08/shinyhunters-sent-google-an-extortion-demand-shiny-comments-on-current-activities/” الهدف=”_blank” rel=”nofollow noopener”> أرسل طلب الابتزاز إلى Google. بعد نشر القصة ، أخبر ShinyHunters BleepingComputer أنهم طالبوا 20 من Bitcoins ، أو حوالي 2.3 مليون دولار ، من Google إلى عدم تسرب البيانات.
“I don’t care about ransoming Google anyway, I just sent them a bogus email for the lulz of it,” قال ممثل التهديد.
يقول ShinyHunters إنهم تحولوا منذ ذلك الحين إلى أداة مخصصة جديدة تجعل من السهل وأسرع سرقة البيانات من مثيلات Salesforce المعرضة للخطر.
في التحديث ،”https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion#:~:text=UNC6040(EvolvingTTPs)” الهدف=”_blank” rel=”nofollow noopener”> اعترفت جوجل مؤخرًا الأدوات الجديدة ، تفيد بأنها شاهدت البرامج النصية Python المستخدمة في الهجمات بدلاً من محمل بيانات Salesforce.
تحديث 8/9/25: تمت إضافة مزيد من المعلومات حول الطلب الابتزاز.