أكدت شركة Google أن المتسللين قد سرقوا البيانات المخزنة في Salesforce لأكثر من 200 شركة في عملية اختراق واسعة النطاق لسلسلة التوريد.
يوم الخميس،”https://techcrunch.com/2025/11/20/salesforce-says-some-of-its-customers-data-was-accessed-after-gainsight-breach/”>كشفت Salesforce عن حدوث خرق من “بيانات Salesforce لعملاء معينين” – دون تسمية الشركات المتضررة – والتي تمت سرقتها عبر التطبيقات التي نشرتها Gainsight، والتي توفر منصة لدعم العملاء لشركات أخرى.
وفي بيان، قال أوستن لارسن، محلل التهديدات الرئيسي في مجموعة Google Threat Intelligence Group، إن الشركة “على علم بأكثر من 200 حالة من المحتمل أن تتأثر من Salesforce”.
بعد أن أعلنت Salesforce عن الاختراق، أعلنت مجموعة القرصنة سيئة السمعة والغامضة إلى حد ما المعروفة باسم Scattered Lapsus$ Hunters، والتي تضم عصابة ShinyHunters، مسؤوليتها عن الاختراقات في قناة Telegram، وهو ما شاهدته TechCrunch.
وأعلنت مجموعة القرصنة مسؤوليتها عن الاختراقات التي أثرت على Atlassian وCrowdStrike وDocusign وF5 وGitLab وLinkedin وMalwarebytes وSonicWall وThomson Reuters وVerizon.
اتصل بنا
هل لديك مزيد من المعلومات حول خروقات بيانات Salesforce وGinsight؟ أو غيرها من خروقات البيانات؟ من جهاز غير خاص بالعمل، يمكنك الاتصال بـ Lorenzo Franceschi-Bicchierai بشكل آمن على تطبيق Signal على الرقم +1 917 257 1382، أو عبر Telegram وKeybase @lorenzofb، أو”http://techcrunch.com/mailto:lorenzo@techcrunch.com/”>البريد الإلكتروني.
لن تعلق جوجل على ضحايا محددين.
صرح المتحدث باسم CrowdStrike، كيفن بيناتشي، لـ TechCrunch في بيان أن الشركة “لم تتأثر بمشكلة Gainsight وأن جميع بيانات العملاء تظل آمنة”. أكد CrowdStrike لـ TechCrunch ذلك”https://techcrunch.com/2025/11/21/crowdstrike-fires-suspicious-insider-who-passed-information-to-hackers/”> أنهت “المطلع المشبوه” بتهمة نقل المعلومات إلى المتسللين.
تواصلت TechCrunch مع جميع الشركات التي ذكرتها Scattered Lapsus$ Hunters.
وقال المتحدث باسم شركة Verizon، كيفن إسرائيل، في بيان إن “Verizon على علم بالادعاء غير الموثق من قبل جهة التهديد”، دون تقديم دليل على هذا الادعاء.
صرح آشلي ستيوارت، المتحدث الرسمي باسم Malwarebytes، لـ TechCrunch أن فريق الأمان بالشركة “على دراية” بقضايا Gainsight وSalesforce و”يحققون بنشاط في الأمر”.
وقال متحدث باسم طومسون رويترز إن الشركة “تحقق بنشاط”.
صرح مايكل آدامز، كبير مسؤولي أمن المعلومات في Docusign، لـ TechCrunch في بيان أنه “بعد تحليل السجل الشامل والتحقيق الداخلي، ليس لدينا ما يشير إلى اختراق بيانات Docusign في هذا الوقت”. ومع ذلك، قال آدامز: “من باب الحذر الشديد، اتخذنا عددًا من التدابير بما في ذلك إنهاء جميع عمليات تكامل Gainsight واحتواء تدفقات البيانات ذات الصلة”.
وفي وقت النشر، لم تستجب أي من الشركات الأخرى لطلبات التعليق.
أخبر المتسللون من مجموعة ShinyHunters موقع TechCrunch في محادثة عبر الإنترنت أنهم تمكنوا من الوصول إلى Gainsight بفضل”https://techcrunch.com/2025/09/08/salesloft-says-drift-customer-data-thefts-linked-to-march-github-account-hack/”>حملة القرصنة السابقة التي استهدفت عملاء Salesloft، التي توفر منصة تسويق مدعومة بالذكاء الاصطناعي وروبوتات الدردشة تسمى Drift. في تلك الحالة السابقة، سرق المتسللون رموز مصادقة Drift المميزة من هؤلاء العملاء، مما سمح للمتسللين باقتحام مثيلات Salesforce المرتبطة بهم وتنزيل محتوياتها.
في ذلك الوقت، غينسايت”http://gainsight.com/security/” الهدف=”_blank” rel=”noreferrer noopener nofollow”>أكد وكان من بين ضحايا حملة القرصنة تلك.
وقال متحدث باسم مجموعة ShinyHunters لـ TechCrunch: “كان Gainsight أحد عملاء Salesloft Drift، وقد تأثروا وبالتالي تعرضوا للخطر بالكامل من قبلنا”.
صرحت المتحدثة باسم Salesforce، نيكول أراندا، لـ TechCrunch أنه “من حيث السياسة، لا تعلق Salesforce على مشكلات محددة للعملاء.”
لم يستجب Gainsight لطلبات TechCrunch للتعليق.
يوم الخميس، Salesforce”https://status.salesforce.com/generalmessages/20000233″ الهدف=”_blank” rel=”noreferrer noopener nofollow”> قال “لا يوجد ما يشير إلى أن هذه المشكلة نتجت عن أي ثغرة أمنية في منصة Salesforce”، مما يجعلها تنأى بنفسها فعليًا عن خروقات بيانات عملائها.
وقد قامت Gainsight بنشر تحديثات حول الحادث”https://status.gainsight.com/” الهدف=”_blank” rel=”noreferrer noopener nofollow”> في صفحة الحادثة. وقالت الشركة يوم الجمعة إنها تعمل الآن مع وحدة الاستجابة للحوادث في Google Mandiant للمساعدة في التحقيق في الانتهاك، وأن الحادث المعني “نشأ من الاتصال الخارجي للتطبيقات – وليس من أي مشكلة أو ثغرة أمنية داخل منصة Salesforce”، وأن “تحليل الطب الشرعي مستمر كجزء من مراجعة شاملة ومستقلة”.
“ألغت Salesforce مؤقتًا رموز الوصول النشطة للتطبيقات المرتبطة بـ Gainsight كإجراء احترازي بينما يستمر التحقيق في النشاط غير المعتاد،” وفقًا لصفحة حادثة Gainsight، التي قالت إن Salesforce تقوم بإخطار العملاء المتأثرين الذين سُرقت بياناتهم.
وقالت Scattered Lapsus$ Hunters في قناتها على Telegram إنها تخطط لإطلاق موقع ويب مخصص لابتزاز ضحايا حملتها الأخيرة بحلول الأسبوع المقبل. وهذا هو أسلوب عمل المجموعة؛ في أكتوبر،”https://techcrunch.com/2025/10/03/hacking-group-claims-theft-of-1-billion-records-from-salesforce-customer-databases/”>نشر المتسللون أيضًا موقعًا مشابهًا للابتزاز بعد سرقة بيانات Salesforce للضحايا في حادثة Salesloft.
The Scattered Lapsus$ Hunters هي مجموعة من المتسللين الناطقين باللغة الإنجليزية والتي تتكون من العديد من عصابات الجرائم الإلكترونية، بما في ذلك”https://techcrunch.com/2025/11/17/doordash-confirms-data-breach-impacting-users-phone-numbers-and-physical-addresses/”> ShinyHunters,”https://techcrunch.com/2024/11/23/the-rise-and-fall-of-the-scattered-spider-hackers/”>العنكبوت المتفرق، و”https://techcrunch.com/2022/03/22/okta-january-hack-breach/”> لابسوس$، الذي يستخدمه أعضاؤه”https://techcrunch.com/2025/04/25/techcrunch-reference-guide-to-security-terminology/#social-engineering”> تكتيكات الهندسة الاجتماعية لخداع موظفي الشركة لمنح المتسللين حق الوصول إلى أنظمتهم أو قواعد بياناتهم. وفي السنوات القليلة الماضية، ادعت هذه الجماعات”https://techcrunch.com/2024/11/23/the-rise-and-fall-of-the-scattered-spider-hackers/”> العديد من الضحايا البارزين، مثل”https://techcrunch.com/2023/09/14/mgm-cyberattack-outage-scattered-spider/”> منتجعات إم جي إم,”https://techcrunch.com/2023/02/21/0ktapus-coinbase-stolen-employees-information/”> كوين بيس,”https://techcrunch.com/2022/08/25/doordash-customer-data-breach-twilio/”> داش البابوأكثر من ذلك.
تم تحديث هذه القصة لتشمل تعليقات من Docusign وThomson Reuters وVerizon.