افشای داده در شرکت Workiva در پی حملات مرتبط با Salesforce

شرکت Workiva، یکی از ارائه‌دهندگان پیشروی خدمات SaaS مبتنی بر cloud، به مشتریان خود اطلاع داد که مهاجمان با دسترسی به یک third-party CRM system موفق به سرقت بخشی از داده‌های آن‌ها شده‌اند.

نرم‌افزار cloud این شرکت به جمع‌آوری، اتصال و اشتراک‌گذاری داده‌ها برای گزارش‌های مالی، تطبیق با الزامات و حسابرسی کمک می‌کند. Workiva در پایان سال گذشته ۶۳۰۵ مشتری داشت و درآمد سال ۲۰۲۴ آن ۷۳۹ میلیون دلار اعلام شد.

فهرست مشتریان این شرکت شامل ۸۵٪ از Fortune 500 و سازمان‌های مطرحی مانند Google، T-Mobile، Delta Air Lines، Wayfair، Hershey، Slack، Cognizant، Santander، Nokia، Kraft Heinz، Wendy’s، Paramount، Air France KLM، Mercedes-Benz و دیگر شرکت‌های بزرگ است.

بر اساس ایمیل محرمانه‌ای که هفته گذشته به مشتریان آسیب‌دیده ارسال و توسط BleepingComputer مشاهده شده، مهاجمان مجموعه محدودی از business contact information شامل نام، آدرس ایمیل، شماره تلفن و محتوای تیکت‌های پشتیبانی را استخراج کرده‌اند.

شرکت در بیانیه خود اعلام کرد:
«این حادثه مشابه رخدادهای اخیر است که چندین سازمان بزرگ را هدف قرار داده‌اند. نکته مهم این است که پلتفرم Workiva و داده‌های درون آن مورد دسترسی یا نفوذ قرار نگرفته است. فروشنده CRM ما به ما اطلاع داد که دسترسی غیرمجاز از طریق یک third-party application متصل صورت گرفته است.»

Workiva همچنین به مشتریان هشدار داد که هشیار باقی بمانند، چرا که داده‌های سرقت‌شده می‌تواند در حملات spear-phishing مورد سوءاستفاده قرار گیرد.
این شرکت تأکید کرد: «Workiva هرگز از طریق پیامک یا تماس تلفنی برای درخواست رمز عبور یا سایر اطلاعات حساس با کسی تماس نخواهد گرفت. تمامی ارتباطات از طریق کانال‌های رسمی و مطمئن پشتیبانی انجام می‌شود.»

حملات زنجیره‌ای به Salesforce

هرچند Workiva جزئیات بیشتری از این حادثه منتشر نکرده، اما طبق اطلاعات BleepingComputer، این رخداد بخشی از موج اخیر Salesforce data breach‌ها مرتبط با گروه اخاذی ShinyHunters بوده که بسیاری از شرکت‌های بزرگ را تحت تأثیر قرار داده است.

اخیراً Cloudflare نیز اعلام کرد که مجبور به تعویض ۱۰۴ token صادرشده توسط پلتفرم خود شد که توسط ShinyHunters سرقت شده بودند. مهاجمان از این طریق به Salesforce instance مربوط به پشتیبانی مشتریان و مدیریت داخلی پرونده‌های مشتری در اواسط آگوست دسترسی پیدا کردند.

ShinyHunters از ابتدای سال با بهره‌گیری از vishing (voice phishing) مشتریان Salesforce را هدف سرقت داده قرار داده و شرکت‌هایی همچون Google، Cisco، Allianz Life، Farmers Insurance، Workday، Qantas، Adidas و زیرمجموعه‌های LVMH شامل Dior، Louis Vuitton و Tiffany & Co. را تحت تأثیر قرار داده‌اند.

در تحولات جدید، این گروه اخاذی با استفاده از OAuth token‌های سرقتی از یکپارچه‌سازی Drift AI (Salesloft) با Salesforce توانستند به نمونه‌های Salesforce مشتریان دسترسی پیدا کرده و داده‌های حساسی مانند password، AWS access keys و Snowflake tokens را از پیام‌ها و تیکت‌های پشتیبانی استخراج کنند.

به این روش، ShinyHunters موفق شدند به تعداد محدودی از حساب‌های Google Workspace نیز دسترسی یابند، علاوه بر آن داده‌های CRM Salesforce را سرقت کرده و حتی به نمونه‌های Salesforce شرکت‌های امنیت سایبری Zscaler و Palo Alto Networks نیز نفوذ کنند.