أعلنت شركة Salesloft أن خرق البيانات المرتبط بتطبيقها Drift بدأ من اختراق حسابها على GitHub.
وقالت شركة Mandiant المملوكة لجوجل، والتي بدأت التحقيق في الحادثة، إن الجهة المهددة، التي تم تتبعها تحت اسم UNC6395، قامت بالوصول إلى حساب GitHub الخاص بـ Salesloft في الفترة من مارس حتى يونيو 2025. وأكدت 22 شركة حتى الآن تعرضها لتأثير خرق سلسلة التوريد.
ووفقًا لتوضيح Salesloft، “من خلال هذا الوصول، تمكن المهاجم من تنزيل محتوى من مستودعات متعددة، إضافة مستخدم ضيف، وإنشاء تدفقات عمل”.
أنشطة الاستطلاع واختراق بيئة Drift
كشفت التحقيقات أيضًا عن أنشطة استطلاع وقعت بين مارس ويونيو 2025 في بيئات Salesloft وتطبيق Drift، مع التأكيد على عدم وجود أي دليل على أنشطة تتجاوز عمليات الاستطلاع المحدودة.
في المرحلة التالية، وصل المهاجمون إلى بيئة Amazon Web Services (AWS) الخاصة بـ Drift، وحصلوا على رموز OAuth لتكاملات تقنية عملاء Drift، واستُخدمت هذه الرموز للوصول إلى البيانات عبر تكاملات Drift.
الإجراءات الأمنية والتدابير المتخذة
أوضحت Salesloft أنها قامت بعزل بنية Drift التحتية والتطبيق والكود، وأوقفت التطبيق فعليًا اعتبارًا من 5 سبتمبر 2025 الساعة 6 صباحًا بتوقيت شرق الولايات المتحدة. كما قامت بتدوير بيانات الاعتماد في بيئة Salesloft وتعزيزها من خلال تحسين إجراءات تقسيم البيئة بين تطبيقات Salesloft وDrift.
وأضافت الشركة: “ننصح جميع التطبيقات الخارجية المتكاملة مع Drift عبر مفتاح API بإبطال المفتاح الحالي لهذه التطبيقات بشكل استباقي.”
استعادة التكاملات وتدابير Salesforce
حتى 7 سبتمبر 2025 الساعة 5:51 مساءً بتوقيت UTC، أعادت Salesforce التكامل مع منصة Salesloft بعد تعليق مؤقت تم في 28 أغسطس، وذلك استجابةً لإجراءات الأمن والخطوات التصحيحية التي نفذتها Salesloft.
وقالت Salesforce: “أعادت الشركة تمكين التكاملات مع تقنيات Salesloft، باستثناء أي تطبيق تابع لـ Drift. سيظل Drift معطلًا حتى إشعار آخر كجزء من الاستجابة المستمرة للحادث الأمني.”
