تخطى إلى المحتوى الرئيسي
شارك

اختراق Klue OAuth: مجموعة Icarus تسرق بيانات Salesforce من عملاء كبار

فريق جلتشمنذ ساعتين0 مشاهدة5 دقائق
شارك
اختراق Klue OAuth: مجموعة Icarus تسرق بيانات Salesforce من عملاء كبار

تعرضت منصة Klue لاختراق أمني خطير أدى لسرقة رموز OAuth وبيانات Salesforce لعملائها الكبار، مع تبني مجموعة Icarus للهجوم. يحذر الخبراء من استخدام البيانات المسروقة في هجمات تصيّد لاحقة تستهدف الشركات المتضررة وعملاءها.

مقدمة تحليلية

أكدت منصة Klue، المتخصصة في استخبارات السوق، تعرضها لحادث أمني خطير في 12 يونيو 2026، أدى إلى سرقة رموز OAuth المميزة المستخدمة للاتصال ببيئات Salesforce الخاصة بعملائها. وقد تبنت مجموعة 'Icarus' للابتزاز هذه الهجمات علناً، مما يشير إلى تصاعد وتيرة الاستهداف الاحترافي للبيانات الحساسة عبر ثغرات التكامل. هذا الاختراق لا يقتصر تأثيره على Klue وحدها، بل يمتد ليشمل عدداً متزايداً من المنظمات الكبرى التي تعتمد على خدمات Klue، مما يعرض كميات هائلة من بيانات العملاء الاستراتيجية للخطر ويضع الشركات أمام تحديات أمنية ومادية كبيرة. تأتي هذه الكارثة الأمنية بعد أن كشفت شركتا الأمن السيبراني Huntress وReliaQuest عن تفاصيل حول كيفية استغلال المهاجمين لتكاملات Klue Battlecards المخترقة لسرقة بيانات Salesforce CRM من منظمات متعددة. وقد أدى هذا إلى موجة من القلق في الأوساط التقنية حول أمان التكاملات السحابية والاعتماد على الجهات الخارجية، وكيف يمكن لثغرة واحدة أن تؤثر بشكل مضاعف على سلسلة واسعة من الشركات، مما يبرز أهمية تدقيق أمان واجهات برمجة التطبيقات (APIs) ورموز OAuth.

التحليل التقني

حدد تحقيق Klue أن المهاجمين تمكنوا من الوصول الأولي عبر 'اعتماد قديم مخترق' (compromised legacy credential) مرتبط بخدمة تكامل محددة. سمح هذا الوصول للمهاجمين بالحصول على رموز OAuth المميزة، التي تعتبر بمثابة مفاتيح رقمية تمنح Klue إذن الوصول إلى منصات الطرف الثالث مثل Salesforce دون الحاجة لكلمة مرور المستخدم المباشرة. بمجرد الحصول على هذه الرموز، استغل المهاجمون صلاحياتها للوصول إلى بيانات ضمن بيئات العملاء المتصلة. وفقًا لتقارير Huntress وReliaQuest، استخدم المهاجمون، الذين تبين لاحقاً أنهم مجموعة Icarus، أساليب متطورة لسرقة البيانات. وشمل ذلك:
  • توليد رموز OAuth: بعد الوصول الأولي، قام المهاجمون بتوليد رموز OAuth جديدة أو استغلال الرموز الموجودة التي تم الوصول إليها.
  • استخدام سكربتات بايثون: لوحظ أن المهاجمين استخدموا سكربتات Python للاستعلام عن Salesforce's API لفترات طويلة، مما يشير إلى عملية استخراج بيانات منظمة ومستمرة.
  • سرقة بيانات CRM حساسة: تضمنت البيانات المسروقة تفاصيل مهمة مثل جهات الاتصال التجارية، اتصالات المبيعات، معلومات التسعير، وسجلات أخرى حساسة من أنظمة Salesforce CRM التابعة للضحايا.
أكدت Klue أنها اتخذت إجراءات فورية، بما في ذلك إبطال جميع الاعتمادات والرموز المتأثرة، إزالة أي تعليمات برمجية غير مصرح بها، تعطيل التكاملات المتأثرة، وإطلاق تحقيق شامل بمساعدة CrowdStrike. ومع ذلك، يبرز الحادث ضعف نقاط التكامل وسلاسل الإمداد الرقمية، حيث يمكن لثغرة واحدة في طرف ثالث أن تعرض بيانات العديد من الشركات الكبرى.

السياق وتأثير السوق

لم يقتصر حادث Klue على المنصة نفسها، بل امتد ليطال قائمة متزايدة من الشركات الكبيرة التي تستخدم خدماتها وتكاملاتها مع Salesforce. من بين الضحايا المعلنين: Huntress (التي كشفت عن الحادث بنفسها)، Recorded Future، Tanium، Jamf، Sprout Social، Gong، وInsurity. هذا الانتشار الواسع يؤكد أن الهجوم كان يستهدف بشكل أساسي استغلال Klue كنقطة دخول لاستهداف عملائها بشكل غير مباشر، وهو ما يُعرف بهجمات سلسلة التوريد (supply chain attacks). مجموعة Icarus، التي أعلنت مسؤوليتها عن الهجوم عبر موقع تسريب البيانات الخاص بها، استخدمت تكتيكات ابتزازية تقليدية، مطالبة Klue والمنظمات المتضررة بالاتصال بهم عبر منصة المراسلة Session لمنع تسريب البيانات المسروقة. هذا يضع ضغطاً هائلاً على الشركات المتضررة لاتخاذ قرارات سريعة وصعبة بين دفع الفدية أو مواجهة تسرب بيانات حساس قد يدمر سمعتها ويفرض عليها غرامات تنظيمية باهظة. تاريخياً، تُظهر مثل هذه المجموعات عزمًا على تنفيذ تهديداتها لتعزيز سمعتها في عالم الجريمة السيبرانية. يشير هذا الحادث إلى نقطة تحول مقلقة في مشهد الأمن السيبراني، حيث أصبحت التكاملات السحابية والاعتمادات القديمة أهدافًا رئيسية. هذا يزيد من تعقيد إدارة المخاطر للشركات التي تعتمد بشكل متزايد على خدمات SaaS وتكاملاتها لتبسيط العمليات. التأثير على السوق أوسع بكثير من الخسائر المباشرة للبيانات؛ فهو يؤثر على ثقة العملاء في خدمات التكامل، ويدفع الشركات لإعادة تقييم نماذج أمان الطرف الثالث، ويفرض ضغوطاً على موردي SaaS لتعزيز دفاعاتهم الأمنية بشكل جذري.

رؤية Glitch4Techs

من منظور Glitch4Techs، يكشف اختراق Klue OAuth عن نقاط ضعف منهجية في كيفية إدارة الشركات للتكاملات السحابية وصلاحيات الوصول. الاعتماد على 'اعتمادات قديمة' يُعد خطأ أمنياً فادحاً، حيث غالبًا ما تفتقر هذه الاعتمادات إلى آليات الأمان الحديثة مثل المصادقة متعددة العوامل (MFA) أو مراقبة الوصول المستمرة. في بيئة تكنولوجية متغيرة باستمرار، يجب أن تكون إدارة الاعتمادات وتجديدها أولوية قصوى. نرى أن الخطر الحقيقي لا يتوقف عند سرقة البيانات الأولية، بل يمتد إلى ما يمكن أن يطلق عليه 'المرحلة الثانية' من الهجوم. فالمعلومات المسروقة، مثل جهات الاتصال التجارية وتفاصيل المبيعات، هي الذهب بالنسبة لمجموعات التصيّد الاحتيالي والهندسة الاجتماعية. يمكن للمهاجمين استغلال هذه البيانات لتنفيذ حملات تصيّد احتيالي عالية الاستهداف (spear-phishing) ضد الموظفين والعملاء، أو عمليات احتيال قائمة على انتحال الشخصية، مما يزيد من احتمالية حدوث خروقات أمنية إضافية ضمن الشبكات المستهدفة. للتخفيف من هذه المخاطر، يجب على الشركات تطبيق مبدأ الامتياز الأقل (Least Privilege) على جميع التكاملات، مما يعني منح الأذونات الضرورية فقط لأداء المهمة المحددة. كما يجب الاستثمار في حلول المراقبة المستمرة (Continuous Monitoring) لتحركات البيانات وحسابات المستخدمين والأنشطة المشبوهة في بيئات Salesforce وغيرها من المنصات المتصلة. وأخيراً، ندعو إلى تبني نموذج أمان 'عدم الثقة مطلقاً' (Zero Trust) الذي يفترض أن كل محاولة وصول محتملة هي محاولة تهديد ما لم يتم التحقق منها بشكل صارم، بغض النظر عن مصدرها، حتى لو كانت من تكامل موثوق به سابقًا. هذا الحادث هو تذكير صارخ بأن أمان سلسلة التوريد الرقمية أصبح بنفس أهمية الأمان الداخلي للشركة.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.