كشفت شركة جوجل أن سلسلة الهجمات الأخيرة التي استهدفت بيئات Salesforce عبر منصة Salesloft Drift أوسع نطاقاً مما كان يُعتقد في البداية، مؤكدة أنها تؤثر على جميع التكاملات المرتبطة.
وقالت مجموعة استخبارات التهديدات في جوجل (GTIG) وشركة Mandiant في تنبيه محدث: “ننصح الآن جميع عملاء Salesloft Drift بالتعامل مع جميع رموز المصادقة المخزنة أو المرتبطة بالمنصة على أنها ربما تكون قد تعرضت للاختراق”.
استهداف Google Workspace عبر رموز OAuth
أوضحت جوجل أن المهاجمين استغلوا رموز OAuth المسروقة للوصول إلى عدد محدود من حسابات البريد الإلكتروني في Google Workspace بتاريخ 9 أغسطس 2025، بعد اختراق رموز المصادقة الخاصة بتكامل “Drift Email”. وأكدت الشركة أن هذا لا يعني وجود خرق في أنظمة Google Workspace أو Alphabet نفسها.
وأضافت: “الحسابات الوحيدة التي ربما تم الوصول إليها هي تلك المهيأة خصيصاً للتكامل مع Salesloft، ولم يكن بمقدور المهاجمين الوصول إلى أي حسابات أخرى داخل نطاق Workspace الخاص بالعملاء”.
ما هي رموز OAuth ولماذا تمثل خطراً؟
تُعد رموز OAuth آلية شائعة تسمح للتطبيقات والخدمات بالوصول إلى بيانات أو موارد حسابات المستخدمين دون الحاجة لمشاركة كلمات المرور. فهي تعمل بمثابة مفاتيح وصول رقمية تمنح التطبيقات صلاحيات مؤقتة أو دائمة لإجراء مهام معينة مثل قراءة البريد الإلكتروني أو الوصول إلى الملفات.
لكن خطورة هذه الرموز تكمن في أنه بمجرد سرقتها، يمكن استخدامها كبديل مباشر لكلمة المرور، ما يمكّن المهاجمين من الوصول إلى حسابات وخدمات حساسة دون تنبيه فوري. لذلك يُعد تأمينها ومراقبتها باستمرار أمراً بالغ الأهمية في بيئات الأعمال.
إجراءات جوجل لمواجهة الهجوم
عقب اكتشاف الاختراق، أكدت جوجل أنها أبلغت المستخدمين المتأثرين، وألغت رموز OAuth الخاصة بتطبيق Drift Email، كما عطلت خاصية التكامل بين Google Workspace وSalesloft Drift، في إطار تحقيق متواصل حول الحادث.
وحثّت الشركة المؤسسات التي تستخدم Salesloft Drift على مراجعة جميع التكاملات مع تطبيقات الطرف الثالث، وإلغاء وإعادة تدوير بيانات الاعتماد الخاصة بها، إضافة إلى فحص الأنظمة المتصلة بحثاً عن أي مؤشرات لاختراق محتمل.
خطوات Salesforce وتعليق التكاملات
جاءت هذه التطورات بعد أيام من كشف جوجل عن حملة واسعة لسرقة البيانات نفذها فاعلو تهديد جدد يُعرفون باسم UNC6395، استغلوا خلالها رموز OAuth المخترقة المرتبطة بـSalesloft Drift لاستهداف بيئات Salesforce خلال الفترة من 8 إلى 18 أغسطس 2025.
وفي المقابل، أعلنت Salesloft أن شركة Salesforce عطلت مؤقتاً تكامل Drift مع كل من Salesforce وSlack وPardot، قبل أن تعلن بعد ساعات قليلة أنها قررت تعطيل جميع تكاملات Salesloft مع Salesforce بشكل مؤقت.
وأكدت Salesloft أنه “حتى الآن لم يتم رصد أي نشاط خبيث في تكاملات Salesloft المرتبطة بحادث Drift، كما لا توجد مؤشرات على أن هذه التكاملات معرضة للخطر”.
