شرکت Salesforce از پرداخت باج در پی حملات گسترده سرقت داده خودداری میکند.
شرکت Salesforce تأیید کرده است که در برابر بازیگران تهدیدی که پشت موج گستردهای از حملات سرقت داده قرار دارند، هیچ مذاکرهای انجام نخواهد داد و هیچ باجی پرداخت نمیکند. این حملات در سال جاری بر بخشی از مشتریان این شرکت تأثیر گذاشته است.
به گزارش نخستین بار توسط Bloomberg، شرکت Salesforce روز سهشنبه در ایمیلی به مشتریان خود اعلام کرد که قصد پرداخت باج ندارد و هشدار داد که طبق «اطلاعات تهدید معتبر»، مهاجمان قصد دارند دادههای سرقتشده را افشا کنند.
سخنگوی Salesforce در گفتوگو با BleepingComputer نیز تأیید کرد:
«میتوانم تأیید کنم که Salesforce هیچگونه مذاکره، تعامل یا پرداخت باج را نخواهد پذیرفت.»
این بیانیه پس از آن منتشر شد که گروهی از مهاجمان سایبری با نام Scattered Lapsus$ Hunters وبسایتی برای افشای دادهها راهاندازی کردند. این گروه در تلاش است تا از ۳۹ شرکت مختلف که دادههایشان از Salesforce به سرقت رفته، اخاذی کند.
وبسایت یادشده در دامنه breachforums[.]hn میزبانی شده است — دامنهای که از نام BreachForums گرفته شده؛ همان انجمن معروف هک که برای فروش و انتشار دادههای سرقتی شناخته میشود.
در میان شرکتهایی که هدف اخاذی قرار گرفتهاند، نام برندها و سازمانهای بزرگی به چشم میخورد؛ از جمله:
FedEx، Disney/Hulu، Home Depot، Marriott، Google، Cisco، Toyota، Gap، Kering، McDonald’s، Walgreens، Instacart، Cartier، Adidas، Saks Fifth Avenue، Air France & KLM، TransUnion، HBO Max، UPS، Chanel و IKEA.
به گفتهٔ مهاجمان، آنها مدعیاند که در مجموع نزدیک به یک میلیارد رکورد داده را سرقت کردهاند و تهدید کردهاند که در صورت عدم پرداخت باج از سوی هر شرکت بهصورت جداگانه — یا پرداخت جمعی از طرف Salesforce برای همهٔ مشتریان آسیبدیده — این دادهها را بهصورت عمومی منتشر خواهند کرد.
در جریان دو حمله مجزای سایبری به پلتفرم Salesforce در سال ۲۰۲۵، اطلاعات محرمانه صدها شرکت بزرگ جهان به سرقت رفت.
حمله نخست در اواخر سال ۲۰۲۴ رخ داد؛ زمانی که مهاجمان با جعل هویت کارکنان پشتیبانی IT و اجرای حملات مهندسی اجتماعی، کارکنان شرکتها را فریب دادند تا یک اپلیکیشن OAuth آلوده را به حساب Salesforce سازمان متصل کنند. پس از آن، مهاجمان پایگاههای داده را سرقت کرده و از طریق ایمیل اقدام به اخاذی کردند.
این حمله شرکتهایی مانند Google، Cisco، Qantas، Adidas، Allianz Life، Farmers Insurance، Workday و برندهای بزرگ گروه LVMH از جمله Dior، Louis Vuitton و Tiffany & Co را هدف قرار داد.
دومین موج حملات از اوایل آگوست ۲۰۲۵ آغاز شد. مهاجمان با استفاده از توکنهای OAuth سرقتشده از SalesLoft Drift به محیطهای CRM مشتریان دسترسی پیدا کردند و دادهها را استخراج کردند. این دادهها شامل اطلاعات حساسی همچون اعتبارنامهها، توکنهای API و دادههای احراز هویت بود که میتوانستند برای نفوذ به زیرساختها و سرویسهای ابری شرکتها مورد استفاده قرار گیرند.
براساس گزارش ShinyHunters، یکی از گروههای هکری فعال در این حمله، حدود ۱.۵ میلیارد رکورد داده متعلق به بیش از ۷۶۰ شرکت به سرقت رفته است. شرکتهای بزرگی مانند Google، Cloudflare، Zscaler، Tenable، CyberArk، Elastic، BeyondTrust، Proofpoint، JFrog، Nutanix، Qualys، Rubrik، Cato Networks و Palo Alto Networks تأیید کردهاند که تحت تأثیر این حمله قرار گرفتهاند.
مهاجمان پیشتر یک وبسایت انتشار داده برای اخاذی از قربانیان راهاندازی کرده بودند و اعلام کرده بودند که از ۱۰ اکتبر، قربانیان موج دوم حمله را نیز هدف اخاذی عمومی قرار خواهند داد.
با این حال، این وبسایت اکنون از دسترس خارج شده و دامنه آن به سرورهایی منتقل شده که در گذشته توسط FBI برای توقیف دامنهها استفاده میشد. در حال حاضر FBI هنوز واکنشی به این موضوع نشان نداده است.