أعلنت شركة Salesloft يوم الثلاثاء أنها ستوقف مؤقتاً منصة Drift الخاصة بخدمات الدردشة الذكية، عقب تعرض مئات المؤسسات لهجوم سلاسل توريد معقد أسفر عن سرقة جماعية لرموز المصادقة OAuth. وأوضحت الشركة أن هذا التوقف يهدف إلى مراجعة شاملة للتطبيق وتعزيز مستوى الصمود والأمن قبل استعادته للعمل بشكل كامل، مما يعني أن روبوت الدردشة الخاص بـ Drift على مواقع العملاء لن يكون متاحاً خلال هذه الفترة.
تعاون مع خبراء الأمن السيبراني
أكدت Salesloft أن أولويتها القصوى تتمثل في حماية بيانات عملائها وضمان سلامة أنظمتها، مشيرة إلى أنها تعمل بالتنسيق مع شركاء أمنيين بارزين، من بينهم Mandiant وCoalition، ضمن جهود الاستجابة للحادث. وتأتي هذه الخطوة بعد أن كشفت كل من Google Threat Intelligence Group (GTIG) وMandiant عن حملة تجسس سيبراني واسعة استهدفت سرقة رموز OAuth ورموز التحديث المرتبطة بوكيل المحادثة المدعوم بالذكاء الاصطناعي Drift، واستُخدمت لاختراق بيئات عملاء Salesforce.
حملة تهديد منسوبة إلى UNC6395
بحسب ما أعلنته الشركات الأمنية، بدأت الهجمات في الثامن من أغسطس 2025 واستمرت حتى الثامن عشر من الشهر نفسه، حيث استغل المهاجمون رموز OAuth المخترقة الخاصة بتطبيق Drift للوصول إلى حسابات عملاء Salesforce. وقد نسبت الأنشطة إلى مجموعة تهديد معروفة باسم UNC6395 أو GRUB1، فيما أشارت تقديرات Google إلى أن أكثر من 700 مؤسسة ربما تأثرت بالحادث.
ورغم أن التسريبات كانت توحي في البداية بأن الضرر يقتصر على تكامل Drift مع Salesforce، إلا أن التطورات أظهرت أن أي منصة أخرى مدمجة مع Drift قد تكون عرضة للاختراق، في حين لا تزال كيفية وصول المهاجمين الأولية إلى أنظمة Salesloft Drift غير معروفة.
تداعيات على مؤسسات كبرى
دفعت خطورة الاختراق شركة Salesforce إلى تعطيل جميع عمليات التكامل مع Salesloft كإجراء احترازي. وقد أكدت عدة شركات بارزة تأثرها بالحادث، منها: Cloudflare، Google Workspace، PagerDuty، Palo Alto Networks، Proofpoint، SpyCloud، Tanium، Zscaler.
وأوضحت Cloudflare أن الهجوم لم يكن حادثاً منفرداً، بل محاولة منهجية لجمع بيانات اعتماد ومعلومات عملاء لاستخدامها في هجمات مستقبلية، محذرة من أن استهداف مئات المؤسسات عبر هذه الثغرة قد يمهد لهجمات موجهة ضد عملاء تلك الشركات.
