לא סופי: 11 ספקיות אבטחה נפגעו ממתקפת סייבר

קמפיין Salesloft Drift – מתקפת סייבר רחבת היקף – ממשיך לגבות קורבנות: עוד ספקיות הגנת סייבר נפגעו מהמתקפה: פרופפוינט (Proofpoint), טנאבל (Tenable) וענקית ניהול הזהויות הישראלית, שעתידה להירכש, סייברארק (CyberArk) וכן קאטו (Cato Networks) הישראלית.

ארבע ספקיות אבטחת הסייבר מצטרפות לאלו שהפגיעה בהן נחשפה בשבוע שעבר: פאלו אלטו (Palo Alto Networks), קלאודפלייר (Cloudflare), טאניום (Tanium), וכן Zscaler ו-SpyCloud. ספקית אבטחה נוספת, אוקטה (Okta), הצליחה לסכל את ניסיון התקיפה. תחילה נוספו אליהן רובריק (Rubrik) ולאחריה BeyondTrust.

Salesloft (סיילסלופט) הודיעה בשבוע שעבר על השבתת האפליקציה באופן מקוון ועבודה עימה רק באוף-ליין.

חוקרים אמרו כי רשימת הקורבנות צפויה לגדול.

🚨 UPDATE 🚨 on the Mandiant investigation into the compromise of the Salesforce Drift platform reveals how it was compromised. The attackers initially gained access to Salesloft’s GitHub account, and that’s when things took off… pic.twitter.com/G7hKYmMgee

— International Cyber Digest (@IntCyberDigest) September 7, 2025

נתוני לקוחות המאוחסנים ב-Salesforce CRM – נפגעו

החברות פרסמו אזהרות, לפיהן נתוני לקוחות המאוחסנים ב-Salesforce CRM שלהן נפגעו, בשל פריצה לאפליקציית Salesloft Drift.

פרופפוינט מסרה: "לאחר חקירה, הממצאים מאשרים ששחקן לא מורשה ניגש לדייר סיילספורס (Salesforce tenant) של לקוח שלנו דרך אינטגרציית Drift שנפגעה, וצפה במידע מסוים המאוחסן. זה הכיל פרטי קשר מוגבלים – במיוחד, מספר קטן של שמות עובדים של לקוחות וכתובות דוא"ל עסקיות. לא אוחסנו או נחשפו הודעות דואר אלקטרוני, קבצים מצורפים או נתוני תצורה רגישים. התשתית והמערכות הפנימיות שלנו לא הושפעו מהאירוע".

טנאבל אישרה כי "אנו בין הארגונים הרבים שהושפעו מהתקפות Salesloft Drift, שבמהלכן למשתמש לא מורשה הייתה גישה לחלק מהמידע המאוחסן של הלקוחות שלנו. הנתונים המושפעים כוללים פרטים כללים וכן פרטי קשר סטנדרטיים כגון שם, כתובת דוא"ל עסקית, מספר טלפון ומספר סימוכין למיקום. מוצרים ונתונים המאוחסנים במוצרים שלנו – לא הושפעו".

סייברארק הישראלית, שבאחרונה הודיעה כי תירכש על ידי פאלו אלטו תמורת 25 מיליארד דולרים, אישרה כי "אנו בין מאות הארגונים שהושפעו ממתקפות Salesloft Drift. הנתונים שאליהם ניגשו במתקפה עשויים לכלול פרטי קשר עסקיים, כמו גם מטא-דאטה של חשבונות, של שיחות ושדות סיכום. נתוני לקוחות אחרים, וגם המוצרים והשירותים של סייברארק לא הושפעו".

קאטו מסרה בשבוע שעבר כי "הבעיה מתמקדת בשימוש לרעה באסימוני אימות המשויכים לאפליקצייה צד ג' של סיילספורס. פלטפורמת הענן שלנו, כמו גם השירותים והתשתית שלנו – לא הושפעו בכל צורה".

גוגל – נפגעה בעצמה וחשפה את המתקפה הדרמטית

המתקפה התחוללה באוגוסט האחרון, ונחשפה בסוף אותו חודש על ידי מחקר מודיעין האיומים של גוגל (Google Threat Intelligence Group). ענקית הטק אישרה כי גם היא בין קורבנות המתקפה.

חוקרי גוגל עוקבים זה זמן אחר קבוצת האיום שביצעה את מסע המתקפות, המסומנת כ-UNC6395. במתקפות ההאקרים עשו שימוש באסימוני אימות (OAuth) גנובים, עבור אפליקציית Drift של סיילסלופט, אשר לה יש ממשק עם סיילספורס, ובאמצעותם הם גנבו נתונים ממערכות CRM של סיילספורס. כך, התוקפים ניצלו את אינטגרציית Drift עם ענקית ה-CRM, והפכו אותה לנקודת תורפה המאפשרת חדירה משמעותית.

לפי חוקרי גוגל, התוקפים קצרו מידע רגיש בהיקף נרחב, ובו, בין היתר, מפתחות AWS (אק"א AKIA), לצד סיסמאות ואסימוני גישה לשירות סנואופלייק (Snowflake). חוקרים, שלא מגוגל, העריכו כי היקף הקורבנות הארגוניים עומד על מאות – ואולי יותר מאלף.

ההאקרים טשטשו את צעדיהם לאחר הפריצה, כדי להקשות על זיהויים ואיתורם. חוקרי גוגל ציינו כי "היקף הפגיעה הזו אינו בלעדי לאינטגרציה של סייספורס עם Salesloft Drift". גוגל אישרה כי התוקפים השיגו גישה למספר קטן מאוד של חשבונות Google Workspace. "למען הסר ספק, לא אירעה כל פגיעה ב-Google Workspace או ב-אלפבית עצמה".

סיילסלופט שכרה את מנדיאנט (Mandiant) מבית גוגל קלאוד (Google Cloud), לסייע בחקירה.

"אנו ממליצים כעת לכל לקוחות Salesloft Drift להתייחס לכל אסימוני האימות המאוחסנים בפלטפורמת Drift או מחוברים אליה – כפוטנציאל לסכנה", אמרו חוקרי גוגל, "אנו ממליצים לארגונים לבחון את כל האינטגרציות של צד שלישי המחוברות ל-Drift שלהם, לבטל ולאתחל אישורים עבור יישומים אלה, ולחפש בכל המערכות המחוברות עדויות לגישה לא מורשית".