האקרים: "גנבנו מיליארד רשומות ממשתמשי סיילספורס"

"תאגיד" של כמה קבוצות האקרים טוען שגנב נתונים ממשתמשי סיילספורס (Salesforce) והקים אתר בו כלולים, לטענתו, כ-990 מיליון רשומות שנגנבו. מתקפת הסייבר היא מסוג כופרה, וההאקרים הציבו תאריך יעד של יום ו' הקרוב, ה-10 באוקטובר, למשא ומתן – לפני שהם יחלו להדליף את הנתונים.

"תאגיד" ההאקרים נקרא Scattered Lapsus$ Hunters, או Trinity of Chaos. הוא מורכב מהקבוצות $Lapsus, יחד עם Scattered Spider ו-ShinyHunters.

Last week, Scattered LAPSUS$ Hunters emerged with a coordinated extortion campaign leveraging stolen OAuth tokens and SaaS compromises, primarily targeting Salesforce customers. Read more: https://t.co/cN0VaEjliu#ThreatIntel #Ransomware #DataSecurity #Infosec #CyberSecurity pic.twitter.com/49NzVdoQW7

— Red Piranha (@RedPiranhaSec) October 7, 2025

"ניסיונות אלה מתייחסים לתקריות עבר"

סיילספורס מסרה כי היא מודעת לניסיונות הסחיטה וציינה כי חקרה אותם בשיתוף עם מומחים ורשויות חיצוניות. "הממצאים שלנו מצביעים על כך שניסיונות אלה מתייחסים לתקריות עבר, או לאירועים שאין להם ביסוס. אנו ממשיכים להיות בקשר עם לקוחות מושפעים כדי לספק להם תמיכה", מסרה סיילספורס.

החברה הוסיפה וציינה כי "בשלב זה, אין כל אינדיקציה לכך שהפלטפורמה נפגעה, ולא ידוע לנו על פגיעות בטכנולוגיה שלנו… אבטחת נתונים של לקוחות נותרה בראש סדר העדיפויות שלנו, וצוותי האבטחה שלנו פועלים סביב השעון לספק הדרכה ותמיכה".

קבוצת ההאקרים הודיעה כי הנתונים מגיעים מ-39 חברות וארגונים בפרופיל גבוה, ביניהם – גוגל (Google), סיסקו (Cisco), פדקס (FedEx), דיסני/הולו (Disney/Hulu), טויוטה (Toyota), מריוט (Marriott), איקאה (IKEA), הום דיפו (Home Depot), מקדונלד'ס (McDonald's), פוג'יפילם (Fujifilm), גוצ'י (Gucci), פומה (Puma), קרטייה (Cartier), אדידס (Adidas), פנדורה (Pandora), כמו גם HBO Max, UPS, KFC, GAP ועוד.

לקבוצה יש רשומות סיילספורס עם מידע המאפשר זיהוי אישי (PII). ההאקרים לא פרצו ישירות לסיילספורס, אלא עשו פישינג קולי כדי להערים על הקורבנות.

אחת מקבוצות ההאקרים ב"תאגיד" היא ShinyHunters. זו גנבה נתונים של לקוחות סיילספורס השנה באמצעות פגיעה באפליקציית צד שלישי – של סיילסלופט דריפט (Salesloft Drift). המתקפות פגעו, בין השאר, ב-פאלו אלטו (Palo Alto) וב-Zscaler.

The “Scattered LAPSUS$ Hunters” group claims to have breached Salesforce via voice phishing, targeting clients like Toyota, FedEx, and Disney. They threaten to leak nearly 1 billion records through a new website. #LAPSUS$ #VoicePhishing #USAhttps://t.co/koQbBMLIH8

— Cybersecurity News Everyday (@TweetThreatNews) October 6, 2025

"לטענה של ההאקרים עלולה להיות השפעה רבה"

גם חלק מהחוקרים העריכו כי נראה שהנתונים מגיעים מהפריצה לסיילסלופט דריפט.

דגימת הנתונים שפורסמו מעלה שהם מתוארכים מאפריל 2024 עד ספטמבר השנה. רוב הנתונים הגנובים כוללים פרטים אישיים ופרטי קשר של הלקוחות, העובדים ו/או השותפים של הארגונים-הקורבנות. בחלק מהמקרים, הנתונים כוללים גם פרטים אישיים כגון חשבונות, תאריכי לידה, מספרי דרכון, מספרי ביטוח לאומי, רכישות, תמלילי צ'אטים ועוד.

מומחים ציינו כי "לטענה של ההאקרים עלולה להיות השפעה רבה – אך כרגע היא לא מאומתת. המסר הוא רטוריקה אופיינית לסחיטה: מספרים גדולים, לחץ משפטי ומינוף החשש לפגיעה בתדמית. הודעת ההאקרים ואתר ההדלפות שהם הקימו בעייתית – אבל חסרה להם הוכחה טכנית. למרות זאת, זה לא מפחית את הדחיפות של ההודעה".