شرکت Salesforce از پرداخت باج در پی حملات گسترده سرقت داده خودداری می‌کند.

شرکت Salesforce تأیید کرده است که در برابر بازیگران تهدیدی که پشت موج گسترده‌ای از حملات سرقت داده قرار دارند، هیچ مذاکره‌ای انجام نخواهد داد و هیچ باجی پرداخت نمی‌کند. این حملات در سال جاری بر بخشی از مشتریان این شرکت تأثیر گذاشته است.

به گزارش نخستین بار توسط Bloomberg، شرکت Salesforce روز سه‌شنبه در ایمیلی به مشتریان خود اعلام کرد که قصد پرداخت باج ندارد و هشدار داد که طبق «اطلاعات تهدید معتبر»، مهاجمان قصد دارند داده‌های سرقت‌شده را افشا کنند.

سخنگوی Salesforce در گفت‌وگو با BleepingComputer نیز تأیید کرد:

«می‌توانم تأیید کنم که Salesforce هیچ‌گونه مذاکره، تعامل یا پرداخت باج را نخواهد پذیرفت.»

این بیانیه پس از آن منتشر شد که گروهی از مهاجمان سایبری با نام Scattered Lapsus$ Hunters وب‌سایتی برای افشای داده‌ها راه‌اندازی کردند. این گروه در تلاش است تا از ۳۹ شرکت مختلف که داده‌هایشان از Salesforce به سرقت رفته، اخاذی کند.

وب‌سایت یادشده در دامنه breachforums[.]hn میزبانی شده است — دامنه‌ای که از نام BreachForums گرفته شده؛ همان انجمن معروف هک که برای فروش و انتشار داده‌های سرقتی شناخته می‌شود.

در میان شرکت‌هایی که هدف اخاذی قرار گرفته‌اند، نام برندها و سازمان‌های بزرگی به چشم می‌خورد؛ از جمله:
FedEx، Disney/Hulu، Home Depot، Marriott، Google، Cisco، Toyota، Gap، Kering، McDonald’s، Walgreens، Instacart، Cartier، Adidas، Saks Fifth Avenue، Air France & KLM، TransUnion، HBO Max، UPS، Chanel و IKEA.

به گفتهٔ مهاجمان، آن‌ها مدعی‌اند که در مجموع نزدیک به یک میلیارد رکورد داده را سرقت کرده‌اند و تهدید کرده‌اند که در صورت عدم پرداخت باج از سوی هر شرکت به‌صورت جداگانه — یا پرداخت جمعی از طرف Salesforce برای همهٔ مشتریان آسیب‌دیده — این داده‌ها را به‌صورت عمومی منتشر خواهند کرد.

در جریان دو حمله مجزای سایبری به پلتفرم Salesforce در سال ۲۰۲۵، اطلاعات محرمانه صدها شرکت بزرگ جهان به سرقت رفت.

حمله نخست در اواخر سال ۲۰۲۴ رخ داد؛ زمانی که مهاجمان با جعل هویت کارکنان پشتیبانی IT و اجرای حملات مهندسی اجتماعی، کارکنان شرکت‌ها را فریب دادند تا یک اپلیکیشن OAuth آلوده را به حساب Salesforce سازمان متصل کنند. پس از آن، مهاجمان پایگاه‌های داده را سرقت کرده و از طریق ایمیل اقدام به اخاذی کردند.

این حمله شرکت‌هایی مانند Google، Cisco، Qantas، Adidas، Allianz Life، Farmers Insurance، Workday و برندهای بزرگ گروه LVMH از جمله Dior، Louis Vuitton و Tiffany & Co را هدف قرار داد.

دومین موج حملات از اوایل آگوست ۲۰۲۵ آغاز شد. مهاجمان با استفاده از توکن‌های OAuth سرقت‌شده از SalesLoft Drift به محیط‌های CRM مشتریان دسترسی پیدا کردند و داده‌ها را استخراج کردند. این داده‌ها شامل اطلاعات حساسی همچون اعتبارنامه‌ها، توکن‌های API و داده‌های احراز هویت بود که می‌توانستند برای نفوذ به زیرساخت‌ها و سرویس‌های ابری شرکت‌ها مورد استفاده قرار گیرند.

براساس گزارش ShinyHunters، یکی از گروه‌های هکری فعال در این حمله، حدود ۱.۵ میلیارد رکورد داده متعلق به بیش از ۷۶۰ شرکت به سرقت رفته است. شرکت‌های بزرگی مانند Google، Cloudflare، Zscaler، Tenable، CyberArk، Elastic، BeyondTrust، Proofpoint، JFrog، Nutanix، Qualys، Rubrik، Cato Networks و Palo Alto Networks تأیید کرده‌اند که تحت تأثیر این حمله قرار گرفته‌اند.

مهاجمان پیش‌تر یک وب‌سایت انتشار داده برای اخاذی از قربانیان راه‌اندازی کرده بودند و اعلام کرده بودند که از ۱۰ اکتبر، قربانیان موج دوم حمله را نیز هدف اخاذی عمومی قرار خواهند داد.

با این حال، این وب‌سایت اکنون از دسترس خارج شده و دامنه آن به سرورهایی منتقل شده که در گذشته توسط FBI برای توقیف دامنه‌ها استفاده می‌شد. در حال حاضر FBI هنوز واکنشی به این موضوع نشان نداده است.