افشای داده در شرکت Workiva در پی حملات مرتبط با Salesforce
شرکت Workiva، یکی از ارائهدهندگان پیشروی خدمات SaaS مبتنی بر cloud، به مشتریان خود اطلاع داد که مهاجمان با دسترسی به یک third-party CRM system موفق به سرقت بخشی از دادههای آنها شدهاند.
نرمافزار cloud این شرکت به جمعآوری، اتصال و اشتراکگذاری دادهها برای گزارشهای مالی، تطبیق با الزامات و حسابرسی کمک میکند. Workiva در پایان سال گذشته ۶۳۰۵ مشتری داشت و درآمد سال ۲۰۲۴ آن ۷۳۹ میلیون دلار اعلام شد.
فهرست مشتریان این شرکت شامل ۸۵٪ از Fortune 500 و سازمانهای مطرحی مانند Google، T-Mobile، Delta Air Lines، Wayfair، Hershey، Slack، Cognizant، Santander، Nokia، Kraft Heinz، Wendy’s، Paramount، Air France KLM، Mercedes-Benz و دیگر شرکتهای بزرگ است.
بر اساس ایمیل محرمانهای که هفته گذشته به مشتریان آسیبدیده ارسال و توسط BleepingComputer مشاهده شده، مهاجمان مجموعه محدودی از business contact information شامل نام، آدرس ایمیل، شماره تلفن و محتوای تیکتهای پشتیبانی را استخراج کردهاند.
شرکت در بیانیه خود اعلام کرد:
«این حادثه مشابه رخدادهای اخیر است که چندین سازمان بزرگ را هدف قرار دادهاند. نکته مهم این است که پلتفرم Workiva و دادههای درون آن مورد دسترسی یا نفوذ قرار نگرفته است. فروشنده CRM ما به ما اطلاع داد که دسترسی غیرمجاز از طریق یک third-party application متصل صورت گرفته است.»
Workiva همچنین به مشتریان هشدار داد که هشیار باقی بمانند، چرا که دادههای سرقتشده میتواند در حملات spear-phishing مورد سوءاستفاده قرار گیرد.
این شرکت تأکید کرد: «Workiva هرگز از طریق پیامک یا تماس تلفنی برای درخواست رمز عبور یا سایر اطلاعات حساس با کسی تماس نخواهد گرفت. تمامی ارتباطات از طریق کانالهای رسمی و مطمئن پشتیبانی انجام میشود.»
حملات زنجیرهای به Salesforce
هرچند Workiva جزئیات بیشتری از این حادثه منتشر نکرده، اما طبق اطلاعات BleepingComputer، این رخداد بخشی از موج اخیر Salesforce data breachها مرتبط با گروه اخاذی ShinyHunters بوده که بسیاری از شرکتهای بزرگ را تحت تأثیر قرار داده است.
اخیراً Cloudflare نیز اعلام کرد که مجبور به تعویض ۱۰۴ token صادرشده توسط پلتفرم خود شد که توسط ShinyHunters سرقت شده بودند. مهاجمان از این طریق به Salesforce instance مربوط به پشتیبانی مشتریان و مدیریت داخلی پروندههای مشتری در اواسط آگوست دسترسی پیدا کردند.
ShinyHunters از ابتدای سال با بهرهگیری از vishing (voice phishing) مشتریان Salesforce را هدف سرقت داده قرار داده و شرکتهایی همچون Google، Cisco، Allianz Life، Farmers Insurance، Workday، Qantas، Adidas و زیرمجموعههای LVMH شامل Dior، Louis Vuitton و Tiffany & Co. را تحت تأثیر قرار دادهاند.
در تحولات جدید، این گروه اخاذی با استفاده از OAuth tokenهای سرقتی از یکپارچهسازی Drift AI (Salesloft) با Salesforce توانستند به نمونههای Salesforce مشتریان دسترسی پیدا کرده و دادههای حساسی مانند password، AWS access keys و Snowflake tokens را از پیامها و تیکتهای پشتیبانی استخراج کنند.
به این روش، ShinyHunters موفق شدند به تعداد محدودی از حسابهای Google Workspace نیز دسترسی یابند، علاوه بر آن دادههای CRM Salesforce را سرقت کرده و حتی به نمونههای Salesforce شرکتهای امنیت سایبری Zscaler و Palo Alto Networks نیز نفوذ کنند.