- ShinyHunters يطالبون بسرقة بيانات Salesforce Aura
- استغل المهاجمون أذونات المستخدم الضيف التي تم تكوينها بشكل خاطئ
- وبحسب ما ورد تأثرت ما يقرب من 100 منظمة رفيعة المستوى
ادعى مشغلو برامج الفدية سيئة السمعة ShinyHunters أنهم يقفون وراء الهجوم المستمر لسرقة بيانات Salesforce Aura، وحذروا من أن المزيد من الهجمات ستأتي.
بدءًا من سبتمبر 2025، أمضى المحتالون عدة أشهر في فحص مثيلات Salesforce Experience Cloud التي تواجه الجمهور، وهي منصة تتيح للمؤسسات إنشاء بوابات ويب متصلة مباشرة ببيانات Salesforce CRM الخاصة بها.
ولإجراء المسح، استخدموا نسخة معدلة من AuraInspector، وهي أداة للكشف عن التكوين الخاطئ تم تطويرها في الأصل بواسطة Mandiant. قامت الأداة بفحص نقاط نهاية واجهة برمجة التطبيقات (API) المكشوفة لتحديد البوابات التي تتمتع فيها ملفات تعريف المستخدمين الضيف بأذونات زائدة.
يستمر المقال أدناه
معاينة البحوث
وبعد تحديد المواقع المعرضة للخطر، استخدم المهاجمون أداة مخصصة منفصلة غير مسماة لتجاوز حدود سجل المستخدم الضيف واستخراج بيانات Salesforce CRM دون مصادقة. تم بعد ذلك استخدام المعلومات المسروقة، بما في ذلك الأسماء وأرقام الهواتف، لمتابعة حملات الهندسة الاجتماعية والتصيد الصوتي.
يتحدث الى السجل، أكد متحدث باسم مجموعة القرصنة أن ما يقرب من 100 منظمة رفيعة المستوى تأثرت بهذه الحملة:
وقال الشخص: “لقد سرقت بيانات من ما يقرب من 400 موقع ويب وحوالي 100 شركة أساسية رفيعة المستوى مثل Snowflake وOkta وLastpass وSalesforce نفسها وSony وAMD وغيرها الكثير”. وأضافوا أن عملية الاستطلاع والاستغلال “مستمرة منذ عدة أشهر”.
في نهاية الأسبوع الماضي، حذرت Salesforce عملائها من “مجموعة تهديد معروفة” كانت تقوم بمسح مواقع Experience Cloud العامة بشكل نشط. ولم ترغب في تحديد عدد الشركات التي وقعت ضحية، أو مقدار البيانات المسروقة، لكنها قالت إن المحتالين لم يستغلوا الثغرة الأمنية:
قال أحد الممثلين: “لا ترجع هذه المشكلة إلى أي ثغرة أمنية متأصلة في نظام Salesforce، بل إلى مواقع Experience Cloud حيث تم تكوين ملف تعريف المستخدم الضيف عن غير قصد بأذونات واسعة جدًا”.
ومع ذلك، يبدو أن المجموعة قالت CyberInsider لقد كان بالفعل يستغل عيبًا في المنتج. “ومع ذلك، فقد قرروا عدم الكشف عن أي تفاصيل حول الخلل حتى تنتهي مرحلة الاستغلال”، حسبما جاء في المنشور.
وحتى الآن، تلتزم الشركات التي ذكرتها ShinyHunters الصمت، باستثناء LastPass، التي قالت إنها تدرس هذه المزاعم.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات