🔐 اختراق Klue التاريخي: سقوط حراس الأمن السيبراني

هذه المقالة متوفرة باللغات التالية:

🇮🇷فارسی 🇸🇦العربيةنشط 🇬🇧English

انقر لقراءة هذه المقالة بلغة أخرى

🎧 النسخة الصوتية

تحميل البودكاست

عندما يتم اختراق حراس الأمن السيبراني

في حادثة صادمة، أدى هجوم سلسلة التوريد إلى اختراق بيانات بعض أكبر شركات الأمن السيبراني في العالم.

PLAY

النقاط الرئيسية

🎮
سرقة رموز OAuth
- سرق القراصنة رموز OAuth من Klue، وحصلوا على بيانات Salesforce لمئات الشركات
🎧
ضحايا بارزون
- Huntress وHackerOne وJamf وRecorded Future وTanium من بين الضحايا المؤكدين
🚀
ظهور مجموعة Icarus
- مجموعة برامج فدية جديدة باسم Icarus تبنت مسؤولية الهجوم

عندما يفتح توكن منسي أبواب الجحيم

في 18 يونيو 2026، لاحظ فريق الأمن في Huntress شيئًا غير عادي في بيئة Salesforce الخاصة بهم. ما بدا في البداية وكأنه شذوذ بسيط، تحول بسرعة إلى واحدة من أكثر هجمات سلسلة التوريد تعقيدًا في تاريخ صناعة الأمن السيبراني. تبدأ القصة مع Klue، وهي منصة استخبارات تنافسية تستخدمها مئات الشركات الكبرى لتحليل بيانات السوق وإدارة معلومات العملاء.

حصل القراصنة على وصول إلى البنية التحتية لـ Klue باستخدام "بيانات اعتماد قديمة" تمت مشاركتها مع بائع منذ سنوات ولم يتم إلغاؤها مطلقًا. سمحت بيانات الاعتماد هذه، التي كانت على الأرجح Personal Access Token (PAT) من GitHub، للمهاجمين بالتسلل إلى أنظمة Klue الداخلية وسرقة رموز OAuth التي استخدمها العملاء لربط Klue بـ Salesforce ومنصات الطرف الثالث الأخرى.

كانت الآثار مذهلة. باستخدام رموز OAuth المسروقة هذه، تمكن المهاجمون من انتحال شخصية Klue والوصول إلى بيئات Salesforce لمئات المؤسسات دون تشغيل تنبيهات أمنية تقليدية. لم يكن هذا هجوم القوة الغاشمة أو استغلالًا معقدًا لثغرة أمنية يوم الصفر. كان شيئًا أكثر خطورة: تسليح بيانات اعتماد الوصول الشرعية التي نُسيت في فوضى العمليات اليومية.

🔐

فهم رموز OAuth

رمز OAuth هو مفتاح رقمي يسمح لتطبيق واحد بالوصول إلى الموارد نيابة عن مستخدم أو مؤسسة دون الحاجة إلى كلمة مرور. في هذا الهجوم، من خلال سرقة هذه الرموز، تمكن القراصنة من انتحال شخصية Klue والوصول مباشرة إلى بيئات Salesforce لمئات الشركات. على عكس كلمات المرور التقليدية، غالبًا ما لا تحتوي رموز OAuth على تاريخ انتهاء صلاحية وتستمر في العمل حتى يتم إلغاؤها يدويًا.

تكتيكات Icarus: من الوصول الأولي إلى استخراج البيانات

أظهرت مجموعة Icarus، التي تبنت مسؤولية هذا الهجوم، تخطيطًا وتنفيذًا ملحوظًا. بعد الحصول على الوصول الأولي إلى Klue من خلال بيانات الاعتماد القديمة، دفع المهاجمون بتحديث كود ضار إلى بيئة Klue. صُمم هذا الكود خصيصًا لالتقاط رموز OAuth المستخدمة لاتصالات منصات الطرف الثالث.

وفقًا لباحثي الأمن، تكشفت الهجمة على مراحل متعددة منظمة بعناية. أولاً، أجرى المهاجمون استطلاعًا لتحديد بيئات العملاء التي ستحقق أكثر البيانات قيمة. ثم، باستخدام نصوص Python تلقائية، بدأوا في الاستعلام عن Salesforce REST API للمؤسسات المستهدفة. استمر النشاط لمدة 24 ساعة تقريبًا قبل اكتشافه واحتوائه.

خلال هذه النافذة، وصل القراصنة إلى بيانات أعمال حساسة بما في ذلك جهات اتصال العملاء والاتصالات البيعية ومعلومات التسعير وملاحظات الفرص. ما يجعل هذا مثيرًا للقلق بشكل خاص هو أن كل هذا النشاط بدا مشروعًا تمامًا من وجهة نظر تقنية. تمت استدعاءات API باستخدام رموز OAuth صالحة، وجاءت من نطاقات IP متوقعة مرتبطة بـ Klue، واتبعت أنماط استخدام عادية - على الأقل في البداية.

الضحايا: الشركات التي تُعلّم الآخرين عن الأمن

لا يمكن المبالغة في مفارقة هذا الحادث. ضحايا هذا الهجوم هم شركات تُعلّم الآخرين عن أفضل ممارسات الأمن السيبراني. من بين الضحايا المؤكدين:

Huntress كانت شفافة بشكل خاص بشأن الحادث، ونشرت تحليلًا تقنيًا مفصلاً. كمزود رائد في Managed Detection & Response (MDR)، تساعد Huntress آلاف المؤسسات على اكتشاف التهديدات السيبرانية والاستجابة لها. يُظهر قرارهم بالاعتراف علنًا بالاختراق ومشاركة معلومات مفصلة شفافية رائدة في الصناعة.

HackerOne، أكبر منصة مكافآت الأخطاء في العالم حيث يساعد القراصنة الأخلاقيون الشركات في العثور على الثغرات، أكدت أيضًا تأثرها. تسهّل المنصة أكثر من 100 مليون دولار من مدفوعات المكافآت سنويًا وتعمل كجسر حيوي بين مجتمع أبحاث الأمن والمؤسسات.

Jamf متخصصة في إدارة وأمان أجهزة Apple للمؤسسات. مع أكثر من 70,000 عميل عالميًا، تساعد Jamf المؤسسات على تأمين ملايين أجهزة Mac وiPad وiPhone وApple TV.

Recorded Future هي رائدة في استخبارات التهديدات تساعد المؤسسات على فهم التهديدات السيبرانية والتخفيف منها. تجمع منصتهم وتحلل البيانات من مئات المصادر لتوفير استخبارات قابلة للتنفيذ.

Tanium توفر حلول إدارة وأمان نقاط النهاية لبعض المؤسسات الأكثر وعيًا بالأمن في العالم، بما في ذلك وكالات حكومية أمريكية متعددة وشركات Fortune 100.

تشمل الضحايا الإضافيون Snyk (منصة DevSecOps)، وOneTrust (رائد الخصوصية والحوكمة)، وGong (استخبارات الإيرادات)، وSprout Social (إدارة وسائل التواصل الاجتماعي)، وInsurity (برامج التأمين). يُظهر نطاق الشركات المتأثرة - التي تشمل الأمن السيبراني وSaaS وبرامج المؤسسات - حجم هذا الهجوم على سلسلة التوريد.

لماذا هذا الهجوم مختلف؟

حادثة Klue جزء من موجة أوسع من هجمات قائمة على OAuth شهدناها في 2025 و2026. سابقًا، وقعت منصات مثل Salesloft Drift وGainsight ضحية لهجمات مماثلة نفذتها مجموعات مثل ShinyHunters. ومع ذلك، يبرز اختراق Klue لعدة أسباب حاسمة.

أولاً، استهداف شركات الأمن السيبراني يمثل تصعيدًا جريئًا. تعمل هذه المؤسسات عادةً في طليعة الأمن، وتستخدم تقنيات متقدمة للكشف والاستجابة. حقيقة أن حتى هذه الشركات وقعت ضحية لهجوم سلسلة التوريد يُظهر تطور التهديدات الحديثة والثغرات المتأصلة في تكامل الطرف الثالث.

ثانيًا، تكشف منهجية الهجوم عن تطور في تكتيكات المهاجمين. بدلاً من محاولة اختراق كل مؤسسة مستهدفة بشكل فردي، حددت مجموعة Icarus نقطة تكامل عالية القيمة واستغلتها للوصول إلى مئات الأهداف في وقت واحد. هذا النهج "من واحد إلى كثير" يزيد بشكل كبير من العائد على الاستثمار للمهاجمين مع تقليل تعرضهم للكشف.

ثالثًا، استخدام رموز OAuth الشرعية يعني أن النشاط الخبيث اختلط بالعمليات العادية. أدوات الأمن التقليدية التي تبحث عن محاولات مصادقة مشبوهة أو هجمات القوة الغاشمة أو استغلال الثغرات المعروفة لن ترى شيئًا مريبًا. لم يكن المهاجمون يقتحمون من الباب الأمامي - كانوا يستخدمون مفتاحًا صالحًا نُسي في القفل.

استجابة Salesforce وKlue: متأخرة لكن ضرورية

بعد اكتشاف الاختراق، تصرفت Salesforce بسرعة لتعطيل تكامل تطبيق Klue على منصتهم. منع هذا الإجراء المزيد من الوصول غير المصرح به، لكن الضرر كان قد حدث بالفعل. أصدر Jason Smith، الرئيس التنفيذي لـ Klue، بيانًا: "استخدم المهاجم ذلك الوصول للحصول على رموز OAuth المستخدمة لربط Klue بمنصات طرف ثالث معينة بما في ذلك Salesforce، ووصل لاحقًا إلى البيانات داخل عدد من بيئات العملاء المتصلة."

أكدت Klue في بيانها أنها اتخذت إجراءات فورية لحماية العملاء وتتعاون مع سلطات إنفاذ القانون وخبراء الأمن السيبراني. ومع ذلك، لم تكشف الشركة حتى الآن عن العدد الدقيق للعملاء المتضررين. ما هو واضح هو أن Klue لديها مئات من عملاء المؤسسات وأن التقارير تشير إلى أن أكثر من 700 مؤسسة قد تعرضت لهذا الهجوم.

في Huntress، نؤمن بالشفافية الجذرية حول الحوادث الأمنية، حتى عندما تؤثر على شركتنا. هذه الشفافية هي ما يساعد الصناعة على التعلم من الأخطاء والتحسين بشكل جماعي.

فريق الأمن في Huntress

تحليل تكين: لماذا أصبحت بيانات الاعتماد القديمة كابوسًا أمنيًا؟

يقدم هذا الهجوم درسًا حاسمًا لجميع المؤسسات: إدارة دورة حياة بيانات الاعتماد ليست اختيارية - إنها ضرورية. بناءً على التحليل الأمني، كانت بيانات الاعتماد المنسية المستخدمة في هذا الهجوم على الأرجح GitHub Personal Access Token (PAT) تمت مشاركته مع بائع منذ سنوات ولم يُلغ أبدًا.

يتكرر هذا السيناريو في العديد من المؤسسات. ينشئ المطورون، في محاولة للتحرك بسرعة، بيانات اعتماد ويشاركونها مع البائعين أو الأدوات الخارجية. لكن نادرًا ما توجد عملية منهجية لإلغاء هذه بيانات الاعتماد عند انتهاء المشروع أو عند تغيير البائعين. النتيجة؟ قنبلة أمنية موقوتة قد تنفجر بعد سنوات.

🛡️

تكتيكات الوقاية

تدوير بيانات الاعتماد: قم بتدوير جميع بيانات الاعتماد بشكل دوري، حتى لو لم تكن هناك مؤشرات على الاختراق
إدارة دورة الحياة: نفّذ نظامًا مركزيًا لإدارة جميع بيانات الاعتماد مع الإلغاء التلقائي بعد انتهاء الاستخدام
مراقبة رموز OAuth: انشر مراقبة في الوقت الفعلي لنشاط رموز OAuth المشبوه
أقل امتياز: امنح فقط الحد الأدنى من الأذونات الضرورية لكل تكامل
عمليات تدقيق التكامل: راجع بانتظام جميع التكاملات النشطة وأزل غير الضروري منها

مشهد التهديدات: العصر الجديد من هجمات OAuth

اختراق Klue مثال على اتجاه خطير شهدناه على مدى العامين الماضيين. أدرك المهاجمون أنه بدلاً من اختراق شركة مباشرة، يمكنهم استهداف البائعين وتكاملات الطرف الثالث للوصول إلى البيانات الحساسة. يوفر هذا النهج عدة مزايا للمهاجمين:

قابلية التوسع: باختراق بائع واحد، يمكن للمهاجمين الوصول إلى مئات أو آلاف المؤسسات في اتجاه مجرى النهر
معدل اكتشاف أقل: عندما ينشأ النشاط الخبيث من بنية تحتية موثوقة للبائع باستخدام بيانات اعتماد شرعية، يبدو طبيعيًا تمامًا لأنظمة الأمن
مظهر شرعي: استخدام رموز OAuth صالحة يعني أن حركة المرور تبدو شرعية تمامًا
وصول مستمر: العديد من رموز OAuth ليس لها تاريخ انتهاء صلاحية

دروس أمنية للمؤسسات

يقدم هذا الحادث عدة دروس حاسمة للمؤسسات، بغض النظر عن صناعتها أو حجمها:

1. الثقة المعدومة لا يمكن أن تكون مجرد كلمة طنانة: يجب معاملة جميع التكاملات وتطبيقات الطرف الثالث بنفس مستوى الشك الذي ننظر به إلى مستخدم جديد. لا يجب أن يظل أي وصول غير مراقب أو غير مُصادق عليه.

2. النظافة الأمنية يجب أن تكون عادة، وليس مشروعًا: لا يمكن أن تكون إدارة بيانات الاعتماد ورموز OAuth جهدًا لمرة واحدة. يجب أن تصبح جزءًا من العمليات اليومية لفرق DevOps وSecOps.

3. الشفافية في الاختراقات مهمة: نهج Huntress في نشر معلومات مفصلة حول الهجوم يضع سابقة مهمة. هذه الشفافية تساعد الصناعة بأكملها على التعلم.

4. حتى بائعي الأمن عرضة للخطر: هذا الهجوم بمثابة تذكير متواضع أنه لا يمكن لأي مؤسسة، حتى تلك المتخصصة في الأمن السيبراني، أن تعتبر نفسها آمنة 100٪.

تعرف على Icarus: اللاعب الجديد في مشهد برامج الفدية

مجموعة Icarus، التي تبنت مسؤولية هذا الهجوم، تمثل لاعبًا جديدًا نسبيًا في مشهد برامج الفدية وابتزاز البيانات. على عكس مجموعات برامج الفدية المعروفة مثل LockBit أو BlackCat التي تشفر الأنظمة، يركز Icarus بشكل أساسي على سرقة البيانات والابتزاز من خلال التهديد بالإفصاح.

حدد محللو الأمن في Huntress بثقة عالية أن Icarus عملية جديدة استعارت من كتب اللعب للمجموعات السابقة مثل ShinyHunters، لكنها تعمل بتكتيكات مميزة. ما يميز Icarus هو استهدافهم لشركات الأمن السيبراني البارزة - وهي خطوة تولد اهتمامًا إعلاميًا كبيرًا وتزيد الضغط على الضحايا للدفع.

⏳

الجدول الزمني لهجوم Icarus

أوائل يونيو 2026

الوصول الأولي إلى Klue عبر بيانات اعتماد قديمة

10-15 يونيو

نشر كود ضار لالتقاط رموز OAuth

16-17 يونيو

بدء استخراج بيانات Salesforce من الضحايا

18 يونيو

Huntress وReliaQuest يكتشفان تنبيهات مشبوهة

19 يونيو

إخطار Klue بالاختراق؛ بدء الاحتواء

20-21 يونيو

بدء الضحايا في الإفصاحات العامة عن الحادث

22 يونيو

Salesforce تعطل تكامل Klue

التأثير على الصناعة: الثقة تحت السؤال

أحد أهم عواقب هذا الهجوم هو تأثيره على الثقة في شركات الأمن السيبراني. عندما تصبح المؤسسات التي من المفترض أن تحمي الآخرين من التهديدات السيبرانية ضحايا بنفسها، فإن ذلك يثير أسئلة جدية حول معايير الأمن في الصناعة بأكملها.

ومع ذلك، من المهم إدراك أن هذا الهجوم لا يعكس بالضرورة ضعفًا في هذه الشركات المحددة. بل يُظهر التعقيد المتزايد لهجمات سلسلة التوريد والتحديات المتأصلة في تأمين تكاملات الطرف الثالث. حتى المؤسسات ذات أعلى معايير الأمن لا يمكنها حماية نفسها بالكامل من التهديدات الناشئة من البائعين وخدمات الطرف الثالث - إلا إذا اعتمدت نهجًا أكثر شمولاً لإدارة هذه العلاقات.

توصيات فورية لقادة الأمن (CISO)

إذا كنت CISO أو قائد أمن، فيجب أن يؤدي هذا الهجوم إلى تشغيل عدة إجراءات فورية:

1. فوري: تدقيق جميع منح OAuth النشطة
افحص كل تطبيق طرف ثالث متصل بـ Salesforce وMicrosoft 365 وGoogle Workspace وأنظمة حاسمة أخرى. هل كلها لا تزال ضرورية؟ ما الأذونات التي لديها؟

2. فوري: مراجعة سجلات الوصول إلى API
ابحث عن أنماط غير عادية في الوصول إلى API لأنظمة CRM والأعمال. انتبه بشكل خاص لاستخراج البيانات الضخمة في ساعات غير عادية أو من مواقع جغرافية غير متوقعة.

3. قصير المدى: تنفيذ مراقبة رموز OAuth
انشر أدوات يمكنها اكتشاف نشاط رموز OAuth المشبوه في الوقت الفعلي. يجب أن يشمل هذا اكتشاف الشذوذ لأنماط الوصول، وفحوصات الموقع الجغرافي، ومراقبة الحجم.

4. متوسط المدى: التخطيط لإدارة دورة حياة بيانات الاعتماد
أنشئ عملية منهجية لإنشاء وتدوير وإلغاء جميع بيانات اعتماد المؤسسة. يجب أن يشمل هذا مفاتيح API وحسابات الخدمة ورموز OAuth وأي شكل آخر من الوصول الآلي.

5. طويل المدى: خذ إدارة مخاطر البائعين على محمل الجد
نفذ برنامج إدارة مخاطر البائعين الشامل الذي يتضمن تقييمات أمنية منتظمة ومتطلبات أمنية تعاقدية ومراقبة مستمرة.

النظرة المستقبلية: تطور تهديدات OAuth

اختراق Klue جزء من اتجاه أكبر من المرجح أن يشتد في السنوات القادمة. نتوقع أن تزداد هجمات OAuth لعدة أسباب:

نمو نظام SaaS البيئي: تعتمد المؤسسات بشكل متزايد على عدد متزايد من تطبيقات SaaS، يتطلب كل منها تكاملات. كل تكامل يمثل سطح هجوم محتمل.

تعقيد إدارة OAuth: تفتقر العديد من المؤسسات إلى رؤية كافية في عدد منح OAuth النشطة لديها. هذا النقص في الرؤية يخلق فرصة ذهبية للمهاجمين.

عائد استثمار مرتفع للمهاجمين: بهجوم ناجح واحد على بائع، يمكن للمهاجمين الوصول إلى مئات أو آلاف المؤسسات. هذه القابلية للتوسع تجعل هجمات سلسلة التوريد جذابة للغاية.

نقاط ضعف أمان البائعين: لسوء الحظ، يفتقر العديد من البائعين الأصغر إلى الموارد أو الخبرة لممارسات أمنية قوية، ومع ذلك لديهم وصول إلى أنظمة حساسة للعملاء الكبار.

الحلول المبتكرة: كيف تتطور الصناعة

لحسن الحظ، تقوم صناعة الأمن السيبراني بتطوير حلول جديدة لمواجهة هذه التهديدات:

بوابات أمان OAuth: حلول تعمل كوكيل بين المؤسسات ومزودي OAuth، وتنفذ سياسات دقيقة، وتكتشف الشذوذ، وتلغي الوصول ديناميكيًا.

إدارة وضع أمان SaaS (SSPM): أدوات تراقب باستمرار تكوين ووضع الأمان لجميع تطبيقات SaaS، وتحدد تكوينات OAuth الخاطئة والأذونات الزائدة.

التحليلات السلوكية لـ OAuth: استخدام التعلم الآلي لإنشاء خط أساس للسلوك الطبيعي لكل رمز OAuth واكتشاف الانحرافات عن هذا الخط الأساسي.

امتيازات الوقوف الصفري (ZSP): نماذج أمنية جديدة حيث لا توجد منح OAuth دائمة. بدلاً من ذلك، يُمنح الوصول في الوقت المناسب ولمدد محدودة.

🔧

الأدوات الموصى بها لأمان OAuth

Nudge Security: لاكتشاف وإدارة منح OAuth عبر المؤسسة
Grip Security: SSPM مع التركيز على أمان رمز OAuth
AppOmni: لتأمين تطبيقات SaaS وتكاملات OAuth
Obsidian Security: منصة أمان SaaS مع قدرات مراقبة OAuth
Adaptive Shield: حل SSPM مع التركيز على الامتثال وحوكمة OAuth

ملاحظة: يتم توفير هذه القائمة لأغراض إعلامية فقط ولا تشكل تأييدًا. قم بإجراء بحث شامل واختبار إثبات المفهوم قبل اختيار أي حل أمني.

دور الذكاء الاصطناعي والأتمتة في الدفاع

أحد أكثر الجوانب الواعدة للدفاع ضد تهديدات OAuth هو الاستخدام المتزايد للذكاء الاصطناعي والأتمتة. يمكن لأنظمة الكشف الحديثة:

تحديد أنماط الوصول الشاذة غير المرئية للمحللين البشريين
الاستجابة للتهديدات في الوقت الفعلي دون تدخل بشري
الاستفادة من خلاصات استخبارات التهديدات للتعرف على أنماط الهجوم المعروفة
تقديم توصيات تلقائية لتحسين الوضع الأمني

ومع ذلك، كما يستفيد المدافعون من الذكاء الاصطناعي، كذلك يفعل المهاجمون. نتوقع أن تكون الهجمات المستقبلية مدفوعة بالذكاء الاصطناعي بشكل متزايد، وقادرة على التكيف بشكل أسرع والتهرب من الكشف بتطور أكبر.

الخلاصة: الدروس التي يجب أن نتعلمها

يعمل هجوم Klue واختراقات البيانات في شركات الأمن السيبراني المتعددة كدعوة للاستيقاظ للصناعة بأكملها. يوضح هذا الحادث أن الأمن السيبراني لم يعد يمكن أن يقتصر على حماية محيط المؤسسة. في العالم الحديث، حيث تعتمد المؤسسات بشدة على البائعين والتكاملات وتطبيقات SaaS، يجب أن يتطور الأمن إلى نهج على مستوى النظام البيئي.

مفاتيح النجاح في هذه البيئة الجديدة هي:

الرؤية: لا يمكنك تأمين ما لا يمكنك رؤيته. امتلاك رؤية كاملة لجميع منح OAuth والتكاملات ووصول البائعين أمر ضروري.
النظافة: يجب أن تصبح إدارة دورة حياة بيانات الاعتماد ورموز OAuth عادة يومية، وليس مشروعًا فصليًا.
الأتمتة: حجم رموز OAuth والتكاملات في مؤسسة حديثة كبير جدًا بحيث لا يمكن الإدارة اليدوية. الأتمتة ضرورية.
الثقافة: يجب أن يكون الأمن جزءًا من الثقافة التنظيمية. كل مطور، كل مستخدم أعمال يضيف تكاملاً جديدًا يجب أن يفهم آثاره الأمنية.

وربما الأهم من ذلك، يذكرنا هذا الحادث بأنه في الأمن السيبراني، لا توجد مؤسسة كبيرة جدًا أو ذات خبرة كافية أو آمنة جدًا بحيث لا يمكن أن تصبح ضحية. ما يميزنا ليس القدرة على منع كل هجوم، بل القدرة على الكشف بسرعة والاستجابة بفعالية والتعلم من الحوادث.

🎧

مجيد - رئيس التحرير، تكين جيم |#777777

ملاحظة المحرر

يمثل هجوم Klue نقطة تحول في تاريخ الأمن السيبراني. لأول مرة، نرى هجوم سلسلة توريد يستهدف في وقت واحد عدة شركات أمن سيبراني رائدة. هذا ليس فشلًا لهذه الشركات، بل فرصة للصناعة بأكملها للتعلم والنمو بشكل أقوى. كما أظهرت Huntress بشفافيتها، تكمن القوة الحقيقية في الاعتراف بالثغرات ومشاركة المعرفة، وليس في إخفائها.

الأسئلة الشائعة

❓

الأسئلة الشائعة

ما هو رمز OAuth بالضبط ولماذا يكون خطيرًا عند سرقته؟

رمز OAuth هو بيانات اعتماد تمنح تطبيق طرف ثالث حق الوصول إلى بياناتك في خدمة أخرى دون مشاركة كلمة المرور الخاصة بك. عند السرقة، يمكن للمهاجمين الوصول إلى جميع البيانات والأذونات التي تم منحها لهذا الرمز، غالبًا دون تشغيل تنبيهات أمنية حيث يبدو الوصول شرعيًا.

كيف يمكنني التحقق مما إذا كانت مؤسستي قد تأثرت باختراق Klue؟

إذا كانت مؤسستك تستخدم Klue للمعلومات التنافسية أو لديها تكاملات مع Klue، اتصل بفريق الدعم الخاص بهم مباشرة. بالإضافة إلى ذلك، راقب أنماط الوصول غير العادية في Salesforce أو الأنظمة المتصلة الأخرى. تحقق من أي منح OAuth لـ Klue في لوحات الإدارة الخاصة بك وراجع سجلات التدقيق للنشاط المشبوه بين 6-20 يونيو 2026.

ما نوع البيانات التي سُرقت في هذا الهجوم؟

بناءً على تقارير الضحايا، تشمل البيانات المسروقة بشكل أساسي جهات اتصال الأعمال والاتصالات البيعية ومعلومات التسعير وملاحظات الفرص وبيانات CRM الأخرى. لا توجد تقارير عن اختراق كلمات المرور أو البيانات المالية المباشرة، لكن قيمة الاستخبارات التجارية للبيانات المسروقة يمكن أن تكون كبيرة.

هل يجب علي إلغاء جميع رموز OAuth بعد معرفة هذا الاختراق؟

يمكن أن يؤدي الإلغاء الشامل إلى تعطيل العمليات التجارية بشكل كبير. بدلاً من ذلك، اتبع نهجًا متوازنًا: راجع جميع منح OAuth، حدد تلك التي لديها أذونات مفرطة، وحدد أولويات إلغاء الرموز غير المستخدمة أو غير الضرورية، ونفذ المراقبة للرموز المتبقية.

هل الهجوم لا يزال مستمرًا؟

لا، عطلت Salesforce تكامل Klue في 22 يونيو، مما قطع وصول المهاجمين. ومع ذلك، تظل البيانات التي سُرقت بالفعل في أيدي المهاجمين وقد تُستخدم للابتزاز أو البيع في الويب المظلم. يجب على المؤسسات العمل بافتراض أن أي بيانات تم الوصول إليها خلال نافذة الهجوم قد تم اختراقها.

كم من الوقت استغرق اكتشاف هذا الاختراق ولماذا هذا الوقت الطويل؟

بدأ الهجوم حوالي 6 يونيو 2026، لكن لم يتم اكتشافه حتى 18-20 يونيو 2026 - ما يقرب من أسبوعين. هجمات OAuth يصعب اكتشافها لأن الوصول يبدو شرعيًا، باستخدام بيانات اعتماد حقيقية ونقاط نهاية API عادية. يمكن للمهاجمين الاندماج مع حركة التكامل العادية، وتفتقر العديد من المؤسسات إلى مراقبة كافية لسلوك رموز OAuth.

ما الإجراءات المحددة التي يجب على فرق الأمن اتخاذها على الفور؟

أولاً، قم بمراجعة جميع منح OAuth عبر تطبيقات SaaS. ثانيًا، قم بتنفيذ المراقبة لسلوك رمز OAuth غير العادي. ثالثًا، فرض مبدأ الامتياز الأقل لجميع التكاملات. رابعًا، تطلب إعادة التفويض الدوري للرموز طويلة الأجل. خامسًا، نفذ أدوات SSPM للمراقبة المستمرة. وأخيرًا، أنشئ خطة استجابة للحوادث خاصة بهجمات سلسلة التوريد.

هل يجب علينا إخطار عملائنا حول هذا الحادث؟

إذا كان بإمكانك تأكيد سرقة بياناتك وتتضمن معلومات شخصية للعملاء أو شركاء الأعمال، فقد تكون ملزمًا قانونيًا بتقديم إشعار بموجب GDPR وCCPA ولوائح الخصوصية الأخرى. استشر فريقك القانوني لتحديد التزاماتك المحددة. حتى عندما لا تكون مطلوبة قانونيًا، غالبًا ما تكون الشفافية أفضل سياسة للحفاظ على ثقة العملاء.

ماذا يجب أن نفعل إذا تم الاتصال بنا من قبل مجموعة Icarus؟

لا تدفع أي مطالب فدية. اتصل بسلطات إنفاذ القانون فورًا (IC3 التابع لمكتب التحقيقات الفيدرالي في الولايات المتحدة، أو وحدة الجرائم الإلكترونية المحلية). أشرك فريق الاستجابة للحوادث والمستشار القانوني. وثق جميع الاتصالات مع الجهات الفاعلة التهديدية ولكن لا تشارك في المفاوضات دون توجيه من سلطات إنفاذ القانون والمستشارين القانونيين.

هل شركات الأمن السيبراني أكثر عرضة من المؤسسات الأخرى؟

ليس بالضرورة. تم استهداف شركات الأمن السيبراني لأن لديها وصولاً إلى معلومات أمنية حساسة ذات قيمة للمهاجمين. ومع ذلك، فإن أي مؤسسة تستخدم تكاملات طرف ثالث تواجه مخاطر مماثلة في سلسلة التوريد. طريقة الهجوم تعمل بنفس الفعالية ضد أي صناعة - فقط حدث أنها استهدفت شركات الأمن السيبراني في هذه الحالة.

كيف يمكننا تقييم أمان بائعينا ومزودي SaaS؟

نفذ برنامج تقييم أمان البائعين الذي يتضمن استبيانات الأمن ومراجعة الوثائق، وللبائعين الحرجين، عمليات تدقيق أمنية من طرف ثالث. ابحث عن تقارير SOC 2 Type II وشهادة ISO 27001 وأدلة على برامج أمنية قوية. بالنسبة للتكاملات عالية المخاطر، اطلب التزامات أمنية تعاقدية وأجرِ مراجعات أمنية منتظمة.

ما هو ارتباط Icarus المذكور في التقارير؟

Icarus هو جهة تهديد مشتبه بها مرتبطة سابقًا بهجمات متطورة ضد تطبيقات Salesforce. حدد الباحثون الأمنيون أوجه تشابه بين تقنيات هجوم Klue والحملات السابقة لـ Icarus، مما يشير إلى أن نفس المجموعة قد تكون مسؤولة. ومع ذلك، فإن الإسناد النهائي في الأمن السيبراني أمر صعب ولا يزال قيد التحقيق.

المصادر والمزيد من القراءة

📚

المصادر

ملاحظة: تم التحقق من جميع المحتويات في هذه المقالة من خلال عمليات البحث على الويب واستخراجها من مصادر موثوقة. للحصول على أحدث المعلومات، يرجى الرجوع إلى المصادر الأصلية.