מי ישמור על השומרים? חמש ספקיות אבטחה נפגעו בסייבר

קמפיין Salesloft Drift – מתקפת סייבר רחבת היקף – ממשיך לגבות קורבנות: לפחות חמש ספקיות הגנת סייבר נפגעו מהמתקפה: פאלו אלטו (Palo Alto Networks), קלאודפלייר (Cloudflare), טאניום (Tanium), וכן SpyCloud ו-Zscaler. חוקרים אמרו כי רשימת הקורבנות צפויה לגדול. ספקית אבטחה נוספת, אוקטה (Okta), הצליחה לסכל את ניסיון התקיפה.

המתקפה התחוללה באוגוסט האחרון, ונחשפה בסוף אותו חודש על ידי מחקר מודיעין האיומים של גוגל (Google Threat Intelligence Group). ענקית הטק אישרה כי גם היא בין קורבנות המתקפה.

🚨🔓Top 10 Companies Affected by the Salesforce-Salesloft Drift data theft campaign:

•Cloudflare
•Palo Alto Networks
•Zscaler
•PagerDuty
•Tanium
•SpyCloud
•Astrix Security
•Adidas
•Google
•Cisco pic.twitter.com/H7F3QELpKX

— International Cyber Digest (@IntCyberDigest) September 3, 2025

פרטי המתקפה והשלכותיה

חוקרי גוגל עוקבים זה זמן אחר קבוצת האיום שביצעה את מסע המתקפות, המסומנת כ-UNC6395. במתקפות ההאקרים עשו שימוש באסימוני אימות (OAuth) גנובים, עבור אפליקציית Drift של סיילסלופט (Salesloft) – אשר לה יש ממשק עם סיילספורס (Salesforce) – ובאמצעותם הם גנבו נתונים ממערכות CRM של סיילספורס. כך, התוקפים ניצלו את אינטגרציית Drift עם ענקית ה-CRM, והפכו אותה לנקודת תורפה המאפשרת חדירה משמעותית.

לפי חוקרי גוגל, התוקפים קצרו מידע רגיש בהיקף נרחב, ובו, בין היתר, מפתחות AWS (אק"א AKIA), לצד סיסמאות ואסימוני גישה לשירות סנואופלייק (Snowflake). חוקרים, שלא מגוגל, העריכו כי היקף הקורבנות הארגוניים עומד על מאות – ואולי יותר מאלף.

ההאקרים טשטשו את צעדיהם לאחר הפריצה, על מנת להקשות על זיהויים ואיתורם.

חוקרי גוגל ציינו כי "היקף הפגיעה הזו אינו בלעדי לאינטגרציה של סיילספורס עם Salesloft Drift". גוגל אישרה כי התוקפים השיגו גישה למספר קטן מאוד של חשבונות Google Workspace. "למען הסר ספק, לא אירעה כל פגיעה ב-Google Workspace או באלפאבית (Alphabet) עצמה", ציינו. סיילסלופט שכרה את מנדיאנט (Mandiant) מבית גוגל קלאוד (Google Cloud), לסייע בחקירה.

🚨 UPDATE – Palo Alto Networks confirms it was hit in the Salesloft Drift breach.

Attackers accessed Salesforce CRM data — mostly contacts, sales info & case records.

Products/services not impacted. Other victims: Zscaler, PagerDuty, SpyCloud, Tanium.

Details →… pic.twitter.com/hDIcyxmmQE

— The Hacker News (@TheHackersNews) September 2, 2025

פוטנציאל לסכנה

"אנו ממליצים כעת לכל לקוחות Salesloft Drift להתייחס לכל אסימוני האימות המאוחסנים בפלטפורמת Drift או מחוברים אליה – כפוטנציאל לסכנה", אמרו חוקרי גוגל. "אנו ממליצים לארגונים לבחון את כל האינטגרציות של צד שלישי המחוברות ל-Drift שלהם, לבטל ולאתחל אישורים עבור יישומים אלה, ולחפש בכל המערכות המחוברות עדויות לגישה לא מורשית".

טאניום מסרה כי "לשחקני האיום הייתה גישה מוגבלת לנתוני סיילספורס שלנו. האירוע הוגבל לסיילספורס – ולא נגע במערכות שלנו". 

Zscaler אמרה כי "הפריצה אפשרה גישה מוגבלת לחלק מהמידע שלנו. האירוע מוגבל לסיילספורס ולא למוצרים, השירותים או המערכות והתשתיות שלנו".

ספקית ההגנה מפני איומי זהות SpyCloud ציינה כי "האלמנטים שההאקרים ניגשו אליהם הם שדות סטנדרטיים לניהול קשרי לקוחות בסיילספורס. לא הייתה גישה לנתוני צרכנים".

לפי פאלו אלטו, "הנתונים המושפעים כוללים בעיקר פרטי קשר עסקיים… אנחנו אחת ממאות לקוחות שהושפעו ממתקפת שרשרת האספקה הנרחבת, המכוונת ל-Salesloft Drift. המקרה לא השפיע על אף מוצר, מערכות או שירותים שלנו".

קלאודפלייר מסרה כי "רוב המידע שנפגע, הוא פרטי קשר של לקוחות ונתוני מקרים בסיסיים של תמיכה, אך חלק מהאינטראקציות של תמיכת הלקוחות יכולות לחשוף מידע ועלולות להכיל מידע רגיש".

🚨 Hacker group Scattered LapSus Hunters issues ultimatum to Google: fire 2 key cybersecurity staff or face internal data leaks.
Threat follows massive phishing surge hitting Gmail’s 2.5B users.#Google #CyberSecurity #Hackers #BREAKING pic.twitter.com/tiulHMgEg2

— Alphabetical (@AskAlphabetical) September 2, 2025

עוד שומרת שמאוימת

בלי קשר ישיר לאירועים אלו, אותה זרוע של גוגל העוסקת במודיעין איומי סייבר, ספגה באחרונה איום מקבוצת האקרים בשם Scattered LapSus Hunters. הקבוצה איימה על גוגל בדרישה שענקית הטק תפטר שני עובדים ב-Google Threat Intelligence Group.

האיום הגיע לאחר שקבוצת המודיעין של גוגל חשפה וסיכלה פריצה למערכות סיילספורס ששימשו לאחסון נתונים. ההאקרים דרשו גם שגוגל תפסיק את כל פעולות איסוף המודיעין שלה, ואיימו כי אם דרישותיהם לא ייענו, הם ידליפו תיעוד רגיש.