پایگاه داده گوگل با یک ترفند ساده هک شد

بر اساس بیانیه «گروه اطلاعات تهدید گوگل» (GTIG)، این شرکت در جریان بررسی فعالیت‌های یکی از شناخته‌شده‌ترین گروه‌های سایبری، متوجه شد که پایگاه داده خود در پلتفرم Salesforce هدف نفوذ قرار گرفته است. این پایگاه داده حاوی اطلاعات کسب‌وکار‌های کوچک و متوسط طرف قرارداد با گوگل بوده و مهاجمان توانستند برای مدت کوتاهی به آن دسترسی پیدا کنند.

گوگل اعلام کرده که داده‌های افشا شده شامل «اطلاعات پایه و عمدتاً عمومی» مانند نام شرکت‌ها، اطلاعات تماس و یادداشت‌های مرتبط بوده است. هرچند میزان دقیق داده‌های به‌دست‌آمده افشا نشده، اما شرکت تأکید کرده که حادثه پس از مدت کوتاهی تحت کنترل درآمده است.

برخلاف حملات متداول که از آسیب‌پذیری‌های فنی سوءاستفاده می‌کنند، این نفوذ با استفاده از مهندسی اجتماعی و روش موسوم به «ویشینگ» (فیشینگ صوتی) انجام شده است. هکر‌ها با تماس تلفنی و معرفی خود به عنوان تیم پشتیبانی فناوری شرکت، کارمند گوگل را متقاعد کردند برنامه‌ای به نام Salesforce Data Loader را - که در واقع نسخه جعلی و آلوده آن بود - تأیید و نصب کند.

به گزارش hackread، این برنامه دسترسی مستقیم به پایگاه داده را برای مهاجمان ممکن کرد و در همان بازه کوتاه، حجم مشخصی از داده‌ها استخراج شد.

با استناد به یافته‌های GTIG، گروه UNC۶۰۴۰ مسئولیت نفوذ فنی را بر عهده داشته و گروه دیگری با نام UNC۶۲۴۰ وظیفه باج‌گیری و تهدید قربانیان را اجرا می‌کند. بر اساس این مدل، پس از دسترسی به داده‌ها، از قربانیان درخواست می‌شود ظرف ۷۲ ساعت یک مبلغ معین به صورت بیت‌کوین پرداخت کنند تا از انتشار اطلاعات جلوگیری شود.

گوگل هشدار داده که مهاجمان اخیراً ابزار‌های خود را ارتقا داده‌اند و احتمال دارد در آینده نزدیک یک «سایت انتشار داده» (Data Leak Site) برای فشار بیشتر بر قربانیان راه‌اندازی کنند.

ویلیام رایت، مدیرعامل شرکت امنیتی Closed Door Security، درباره این حادثه گفت: «وقتی حتی یکی از بزرگ‌ترین شرکت‌های فناوری جهان قربانی چنین حملاتی می‌شود، روشن است که هیچ سازمانی مصون نیست. تفاوتی ندارد یک کسب‌وکار کوچک باشید یا یک غول تکنولوژی؛ در‌های نفوذ همیشه باز خواهند ماند مگر اینکه جدی گرفته شوند.» او همچنین بر اهمیت آموزش کارکنان و استفاده از احراز هویت چندمرحله‌ای (MFA) برای جلوگیری از چنین حملاتی تأکید کرد.

حادثه گوگل در امتداد رشته‌ای از حملات گسترده گروه ShinyHunters رخ داده که طی سال گذشته مؤسسات بزرگی را هدف قرار داده‌اند. از جمله، نفوذ به بانک Santander در می ۲۰۲۴ و هک Ticketmaster که به افشای داده‌های بیش از ۵۶۰ میلیون مشتری انجامید. اخیراً نیز برند لوکس Chanel اعلام کرده که بخشی از داده‌های مشتریان آمریکایی‌اش در نتیجه نفوذ به یک پایگاه Salesforce، افشا شده است.

گوگل پس از شناسایی نفوذ، بلافاصله اقدام به ایمن‌سازی سیستم‌ها و اطلاع‌رسانی به مشتریان آسیب‌دیده کرده است. این شرکت به سایر کسب‌وکار‌ها توصیه کرده که با اجرای دوره‌های آموزشی برای کارکنان، استفاده از احراز هویت چندمرحله‌ای و محدود کردن دسترسی‌ها بر اساس نیاز عملیاتی، خطرات حملات مهندسی اجتماعی را کاهش دهند.

به گفته کارشناسان امنیت سایبری، این حادثه پیام روشنی برای همه سازمان‌ها دارد: تهدید‌ها تنها از مسیر نقص‌های فنی نمی‌آیند، بلکه گاهی یک تماس تلفنی ساده می‌تواند نقطه آغاز یک نشت داده میلیارد دلاری باشد.