أعلنت شركة Gainsight عن تأثر عدد أكبر من عملائها بالأنشطة المشبوهة التي استهدفت تطبيقاتها مؤخراً، مما يثير تساؤلات حول أمن البيانات في منصات الإدارة المختلفة. وقد بدأت الهجمات تتكشف تفاصيلها بعد تحذيرات من Salesforce.
بدأت عملية الكشف عن حجم الاختراق بعد أن قدمت Salesforce في البداية قائمة تضم 3 عملاء متأثرين. ومع ذلك، فقد اتسعت هذه القائمة لتشمل عدداً أكبر، بحسب ما أفادت به Gainsight في تحديث حديث. ولم تكشف الشركة عن العدد الدقيق للعملاء المتضررين، لكن الرئيس التنفيذي أكد أن معرفتهم الحالية تقتصر على “عدد قليل من العملاء الذين تأثرت بياناتهم”.
تزايد أعداد العملاء المتأثرين باختراق Gainsight
يأتي هذا التطوروسط تحذيرات صادرة عن Salesforce بخصوص اكتشاف “نشاط غير عادي” مرتبط بالتطبيقات التي تنشرها Gainsight والمتصلة بمنصتها. استدعى هذا الموقف قيام Salesforce بإلغاء جميع رموز الوصول والمصادقة الخاصة بهذه التطبيقات كإجراء احترازي. وقد تبنت مجموعة إجرامية سيبرانية معروفة باسم ShinyHunters (وتعرف أيضاً باسم Bling Libra) مسؤولية هذا الاختراق.
اتخذت العديد من الشركات الأخرى خطوات استباقية لاحتواء الحادث. شمل ذلك قيام Zendesk و Gong.io و HubSpot بتعليق عمليات التكامل مع Gainsight مؤقتاً. كما قامت Google بتعطيل عملاء OAuth الذين يستخدمون عناوين URL معينة مرتبطة بـ Gainsight.
وفي إعلان منفصل، أكدت HubSpot عدم وجود أي أدلة تشير إلى اختراق لبنيتها التحتية أو لبيانات عملائها، مشيرة إلى أن الإجراءات المتخذة هي احتياطات إضافية.
التطبيقات المتأثرة والإجراءات الوقائية
في قسم الأسئلة الشائعة، حددت Gainsight المنتجات التي تعذر الوصول إليها مؤقتاً للقراءة والكتابة من Salesforce، وتشمل هذه المنتجات: نجاح العملاء (CS)، والمجتمع (CC)، و Northpass – تعليم العملاء (CE)، و Guiders (SJ)، و Staircase (ST). ومع ذلك، شددت الشركة على أن Staircase لم تتأثر بالحادث وأن إزالة اتصال Salesforce الخاص بها كان إجراءً احترازياً أثناء التحقيقات الجارية.
قامت كل من Salesforce و Gainsight بنشر مؤشرات تدل على الاختراق (IoCs). ومن بين المؤشرات التي تم تحديدها، تبرز سلسلة من “وكلاء المستخدم” (user agent string) تسمى “Salesforce-Multi-Org-Fetcher/1.0″، والتي تم استخدامها في الوصول غير المصرح به، وتم الإبلاغ عن استخدامها سابقاً في أنشطة تتعلق بمنصة Salesloft Drift.
وفقاً للمعلومات الواردة من Salesforce، بدأت الجهود الاستطلاعية ضد العملاء الذين تعرضت رموز Gainsight الخاصة بهم للخطر من عنوان IP محدد في 23 أكتوبر 2025، تلتها موجات لاحقة من الاستطلاع والوصول غير المصرح به بدءاً من 8 نوفمبر. ولضمان أمن بيئاتهم، طُلب من العملاء اتخاذ خطوات متعددة، منها تدوير مفاتيح الوصول لخدمات التخزين المختلفة، وتسجيل الدخول مباشرة إلى Gainsight NXT بدلاً من استخدام Salesforce، وإعادة تعيين كلمات مرور المستخدمين، وإعادة ترخيص التطبيقات المتصلة.
تأتي هذه التطورات في ظل ظهور منصة جديدة لبرامج الفدية كخدمة (Ransomware-as-a-Service – RaaS) تُعرف باسم ShinySp1d3r. وتشير تقارير إلى تطوير هذه المنصة من قبل تحالف يضم مجموعات مثل Scattered Spider و LAPSUS$ و ShinyHunters. وتشير البيانات إلى أن هذا التحالف مسؤول عن ما لا يقل عن 51 هجوماً سيبرانياً خلال العام الماضي.
تتميز منصة ShinySp1d3r بميزات غير مسبوقة في مجال برامج الفدية كخدمة، مثل تعطيل تسجيل أحداث نظام التشغيل ومنع تشغيل العمليات التي تبقي الملفات مفتوحة. كما أنها تتضمن القدرة على البحث عن مشاركات الشبكة المفتوحة وتشفيرها، وانتشارها إلى أجهزة أخرى على الشبكة المحلية.
وفقاً لتقرير مستقل، فإن الشخص المسؤول عن إطلاق برامج الفدية هذه هو عضو أساسي في تحالف SLSH يُعرف بالاسم المستعار “Rey”. وقد تم الكشف عن هويته بأنه سيف الدين خادر، الذي صرح بأنه يتعاون مع جهات إنفاذ القانون منذ يونيو 2025. وتعد هذه الهجمات مؤشراً على تزايد التهديدات السيبرانية وتعقيدها، مما يستدعي يقظة مستمرة وتطوير مستمر لآليات الدفاع.