به‌روزرسانی ۹ اوت ۲۰۲۵: این گزارش که در ابتدا در تاریخ ۷ اوت منتشر شده بود، اکنون با اطلاعات تکمیلی از سوی کارشناسان امنیت سایبری درباره‌ی هک‌شدن تأییدشده‌ی گوگل به‌روزرسانی شده است. این نوشته، به بررسی داده‌های کاربرانی که در جریان این حمله به خطر افتاده‌اند و اقداماتی که سازمان‌ها باید انجام دهند می‌پردازد.

گروه اطلاعات تهدید گوگل به‌طور رسمی تأیید کرده است که پس از یک حمله‌ی موفق هکری که یکی از پایگاه‌های داده‌ی این شرکت را هدف قرار داده بود، اطلاعات کاربران به سرقت رفته است.

آنچه تا این لحظه می‌دانیم به شرح زیر است:

 

گوگل هک شده است: داده‌ها به خطر افتاده‌اند

این یک هشدار درباره‌ی نیاز فوری مرورگر گوگل کروم به به‌روزرسانی امنیتی نیست، و نه گزارشی درباره‌ی تغییر از رمزعبور به کلیدهای عبور برای محافظت از حساب گوگل شما. خیر، موضوع دقیقاً همان چیزی است که در تیتر آمده: گوگل هک شده است!

منبع این خبر؟ خودِ گوگل!


یک پست منتشرشده در تاریخ ۵ اوت توسط گروه اطلاعات تهدید گوگل (GTIG) تأیید کرده است که یکی از پایگاه‌های داده‌ی شرکتی این شرکت هدف حمله‌ی هکرهایی قرار گرفته که تصور می‌شود با گروه باج‌افزاری ShinyHunters، که به‌طور رسمی با نام UNC6040 شناخته می‌شود، مرتبط هستند.

در این پست آمده است: «گوگل به این فعالیت پاسخ داد، تحلیل میزان تأثیر را انجام داد و اقدامات کاهش ریسک را آغاز کرد.» همچنین اضافه شده که پایگاه داده‌ی مورد نظر یک نسخه‌ی Salesforce بوده که «برای ذخیره‌سازی اطلاعات تماس و یادداشت‌های مرتبط با کسب‌وکارهای کوچک و متوسط مورد استفاده قرار می‌گرفته است.»


رابین براتل، مدیرعامل شرکت Lab 1، گفت: «سرعتی که در آن سازمان‌ها قربانی حملات سایبری علیه نسخه‌های Salesforce می‌شوند، واقعاً نگران‌کننده است.» باید صادق باشیم: کمپین‌های مخرب سریع‌تر از هر زمان دیگری گسترش پیدا می‌کنند، زیرا هکرها از اطلاعاتی استفاده می‌کنند که پیش‌تر منتشر شده‌اند (اغلب از طریق نقض‌های داده‌ی گذشته) تا سازمان‌ها را هدف قرار دهند».


گوگل اعلام کرد که داده‌های مشتریان در بازه‌ی زمانی کوتاهی که پنجره‌ی حمله باز بوده، «توسط عامل تهدید بازیابی شده‌اند.» هرچند گوگل تاکنون جزئیات زیادی درباره‌ی این حمله منتشر نکرده، اما تأیید کرده است که داده‌های سرقت‌شده شامل «اطلاعات پایه و عمدتاً عمومی کسب‌وکار، مانند نام شرکت‌ها و جزئیات تماس» بوده‌اند.


خبرنگار نشریه‌ی فوربز، برای دریافت بیانیه با گوگل تماس گرفت و یک سخن‌گوی این شرکت به او گفت: «جزئیاتی که در حال حاضر قادر به اشتراک‌گذاری آن هستیم، همگی در به‌روزرسانی وبلاگ ما قابل مشاهده است.» او افزود که این شامل اطلاعات بیشتری درباره‌ی گروه تهدید UNC6040 وابسته به ShinyHunters نیز می‌شود که «اطلاعات عملیاتی قابل استفاده‌ای را در اختیار جامعه‌ی امنیتی درباره‌ی این عامل تهدید قرار می‌دهد».

گوگل همچنین اعلام کرده است که ShinyHunters معمولاً از روشی برای باج‌گیری استفاده می‌کند که طی آن با ارسال ایمیل یا تماس تلفنی از قربانیان می‌خواهد ظرف ۷۲ ساعت پس از نفوذ، مبلغ باج را به‌صورت بیت‌کوین پرداخت کنند. با این حال، گوگل نه تأیید و نه تکذیب کرده که این روش در این مورد خاص به‌کار رفته باشد. گوگل تأیید کرده است که خودِ حمله در ماه ژوئن رخ داده است.


نظر کارشناسان امنیت سایبری درباره هک شدن گوگل

ویلیام رایت، مدیرعامل شرکت Closed Door Security، گفت: «خبر اینکه گوگل در موج اخیر حملات انجام‌شده توسط ShinyHunters دچار نقض داده شده است، نشان می‌دهد که هیچ سازمانی در برابر جرایم سایبری مصون نیست.» او افزود: «فرقی نمی‌کند یک کسب‌وکار کوچک باشید یا یکی از پیشروترین شرکت‌های فناوری جهان، همه‌ی سازمان‌ها آسیب‌پذیر هستند». رایت ادامه داد که به‌روزرسانی گوگل تنها یک نمای کلی از نحوه وقوع این حملات ارائه می‌دهد، «اما مشخص نکرده که آیا سازمان‌های تحت تأثیر مطلع شده‌اند یا اگر مطلع شده‌اند، چه زمانی این اتفاق افتاده است.» این یعنی مجرمان سایبری، چه ShinyHunters باشند و چه نه، ممکن است تا دو ماه این اطلاعات را در اختیار داشته و هرطور که خواسته‌اند از آن استفاده کرده باشند.

جیمی اختر، مدیرعامل CyberSmart، نیز گفت: «گوگل مدت‌هاست که یکی از پیشروترین شرکت‌های جهان در حوزه امنیت سایبری است، اما اگر این اتفاق برای یکی از ثروتمندترین و مجهزترین شرکت‌ها در زمینه دفاع سایبری رخ بدهد، می‌تواند برای هر کسی رخ دهد.» او هشدار داد که با توجه به ارتباط این حمله با گروه باج‌افزاری و اخاذی سایبری ShinyHunters، احتمالاً این نقض داده ناشی از مهندسی اجتماعی یا نوعی خطای انسانی بوده است. اختر افزود: «این نشان می‌دهد که حتی بهترین دفاع‌های فنی جهان هم نمی‌توانند شما را محافظت کنند اگر یکی از کارکنان روی چیزی که نباید کلیک کند یا با مهندسی اجتماعی فریب بخورد».

در همین حال، دری آقا، مدیر ارشد عملیات امنیت در Huntress، با تأیید هشدار اختر، بر خطرات حیاتی زنجیره تأمین ناشی از پلتفرم‌های شخص ثالث تأکید کرد. او هشدار داد: «حتی غول‌های فناوری هم مصون نیستند و این نشان می‌دهد که کسب‌وکارها باید تمام فروشندگانی که به داده‌هایشان دسترسی دارند را به‌دقت بررسی کرده و به‌طور مستمر پایش کنند». آقا گفت: «استفاده گزارش‌شده از voice phishing توسط UNC6040 یادآوری جدی است که عوامل انسانی همچنان یکی از سطوح هدف‌گیری رایج در حملات هستند». به همین دلیل، او توصیه کرد که سازمان‌ها باید رویکردی لایه‌لایه به امنیت داشته باشند که شامل «آموزش پیشرفته آگاهی امنیتی و همچنین کنترل‌های سخت‌گیرانه دسترسی، به‌ویژه برای پلتفرم‌های ابری که اطلاعات حساس مشتریان را ذخیره می‌کنند» باشد.

برخی کارشناسان حتی پا را فراتر گذاشته و تأکید کردند که «هک‌هایی مثل این قابل پیشگیری و حتی غیرممکن هستند اگر شرکت‌ها از احراز هویت کاملاً بدون گذرواژه استفاده کنند». البته فدریکو سیمونتی، مدیر ارشد فناوری Xiid، که خود در این حوزه ذی‌نفع است، چنین نظری دارد، اما این واقعیت را تغییر نمی‌دهد. او گفت: «اگر یک هکر با بخش پشتیبانی فناوری اطلاعات تماس بگیرد تا با مهندسی اجتماعی، بازنشانی گذرواژه یک کاربر را درخواست کند، نمی‌تواند موفق شود». سیمونتی تأکید کرد: «امروز، احراز هویت بدون گذرواژه دیگر یک قابلیت لوکس نیست، بلکه یک ضرورت است».

در نهایت، جیمی اختر جمع‌بندی کرد: «اگرچه هرگونه نقض داده در گوگل شوکه‌کننده است، اما هیچ نشانه‌ای وجود ندارد که داده‌های سرقت‌شده به‌ویژه حساس بوده یا مشتریان را در معرض خطر جدی قرار دهد». در واقع، گوگل پیش‌تر اعلام کرده است که داده‌های به خطر افتاده یک نسخه‌ی Salesforce حاوی اطلاعات عمومی بوده است. او افزود: «به همین دلیل، توصیه ما به کسب‌وکارها این است که محتاط باشند، اما وحشت نکنند».

منبع: فوربز