الثلاثاء 07 يوليو 2026 03:41:55 GMT+02:00

Netcrook

الرئيسيةالبيان
الأخبار
Techcrook
Geocrook
WikicrookالفريقAppاتصال
ArabicEnglishItaliano

الاختراقات وتسريبات البيانات

تسريبات OAuth المسروقة تضع سلسلة الثقة في SaaS تحت الضغط

نشر: 20 يونيو 2026 02:03الفئة: الاختراقات وتسريبات البياناتالموقع: أمريكا الشمالية / كنداالكاتب: BYTESHIELD

تُظهر حادثة الأمان المؤكدة لدى Klue كيف يمكن لرمز تكامل مسروق واحد أن يحول موصلًا روتينيًا إلى مسار وصول عالي القيمة إلى بيئات Salesforce الخاصة بالعملاء.

عندما يصبح تكامل تابع لجهة خارجية هو البوابة إلى نظام أعمال سحابي، تصبح الرمز المميز مهمًا بقدر أهمية كلمة المرور. في هذه الحالة، أكدت Klue علنًا وقوع حادث أمني شمل رموز OAuth المستخدمة للاتصال ببيئات Salesforce الخاصة بالعملاء، بينما ادعت مجموعة تطلق على نفسها اسم Icarus مسؤوليتها عن الهجوم علنًا. لم يتم التحقق من هذا الادعاء بشكل مستقل، لكن الخطر التقني واضح: يمكن لرمز تفويض مسروق أن يسمح للمهاجم بالعمل عبر تكامل موثوق بدلًا من اقتحام النظام بشكل صاخب.

حقائق سريعة

  • أكدت Klue وقوع حادث أمني يتعلق برموز OAuth مرتبطة باتصالات Salesforce.
  • استُخدمت الرموز للاتصال ببيئات Salesforce الخاصة بالعملاء، وليس لمشاركة كلمة مرور حساب عامة.
  • ادعت Icarus المسؤولية علنًا، لكن هذا الإسناد لا يزال غير مُتحقق منه.
  • لم يتم بعد تحديد النطاق الكامل للعملاء المتأثرين والوصول اللاحق بشكل علني.
  • إبطال الرموز، ومراجعة النطاق، وتحليل سجلات API هي الأولويات الدفاعية الفورية.

لماذا يهم سرقة OAuth

تم تصميم OAuth 2.0 للوصول المفوض. وبعبارة بسيطة، يتيح ذلك لتطبيق واحد أن يعمل نيابة عن تطبيق آخر بصلاحيات محدودة. هذه السهولة هي سبب اعتماد منظومات SaaS الحديثة عليه، لكنها أيضًا سبب خطورة سرقة الرموز المميزة. إذا حصل مهاجم على رمز صالح، فقد لا يحتاج إلى كلمة مرور المستخدم مرة أخرى، وفي كثير من الإعدادات قد لا يواجه مطالبة MFA في لحظة إساءة الاستخدام.

بالنسبة للتطبيقات المتصلة بـ Salesforce، فإن السؤال الحقيقي هو النطاق. قد يقتصر تكامل محدود النطاق على قراءة مجموعة صغيرة من الكائنات. بينما قد يتمكن تكامل أوسع من الوصول إلى المزيد من البيانات، وإذا كانت رموز التحديث متضمنة، فقد يستمر الوصول حتى يتم إبطال الرمز. هذا لا يثبت حدوث اختراق واسع هنا، لكنه يوضح لماذا قد يكون إساءة استخدام التكامل صعبة الاكتشاف وصعبة الاحتواء.

من منظور دفاعي، هذه مشكلة حدود ثقة بقدر ما هي مشكلة بيانات اعتماد. يمكن لاختراق رمز من جهة البائع أن يخلق حادثًا لدى العميل في المراحل اللاحقة دون أن يسجل المهاجمون الدخول مباشرة إلى الحساب الرئيسي للعميل. قد يبدو المرور وكأنه نشاط API عادي، ما يعني أن المدافعين غالبًا ما يضطرون للبحث في السجلات، لا في تنبيهات البرمجيات الخبيثة، لاكتشاف الإساءة.

حتى وقت كتابة هذا التقرير، لم تُحدّد المعلومات العامة بالكامل السبب التقني الجذري، أو النطاق الكامل للمستخدمين المتأثرين، أو ما إذا كانت الأنظمة اللاحقة قد تعرضت للاختراق. وتدعم الأدلة المتاحة تحليلًا للمخاطر، لا ادعاءً حاسمًا بشأن تأثير أوسع.

ما الذي ينبغي على فرق الأمن فعله الآن

الخطة الفورية مألوفة لكنها لا ترحم: حصر التطبيقات المتصلة، وإبطال الرموز المشبوهة، وفرض إعادة التفويض عند الحاجة، ومراجعة نشاط API بحثًا عن عمليات تصدير أو أنماط وصول غير معتادة. والدرس الأطول أمدًا هو إبقاء نطاقات الجهات الخارجية ضيقة قدر الإمكان، ومراجعتها بانتظام، والتعامل مع رموز التكامل باعتبارها بيانات اعتماد عالية القيمة بدلًا من كونها مجرد بنية خلفية.

تذكرنا هذه الحادثة بأن أمن SaaS لا يتوقف عند شاشة تسجيل الدخول. بمجرد أن تُفوَّض الثقة إلى تكامل، فإن الفرضية الأكثر أمانًا هي أن الرمز نفسه يصبح جزءًا من سطح الهجوم.

الخلاصة

القصة الأعمق هنا ليست مجرد سرقة رمز، بل الاعتماد على الرموز. تعمل سير العمل السحابية الحديثة على أساس الوصول المفوض، ولا يكون هذا الوصول قويًا إلا بقدر قوة الضوابط المحيطة بالإبطال والمراقبة والصلاحيات. في عصر موصلات SaaS، قد تحمل أصغر بيانات الاعتماد أوسع مدى.

ويكيكروك

  • OAuth 2.0: إطار تفويض مفوض يتيح للتطبيقات الوصول إلى الخدمات دون مشاركة كلمة مرور المستخدم.
  • رمز حامل: بيانات اعتماد تمنح الوصول لأي شخص يمتلكها، لذا قد تكفي السرقة لإساءة استخدامها.
  • رمز تحديث: رمز يمكن استخدامه للحصول على رموز وصول جديدة، ما قد يطيل أمد الوصول حتى يتم إبطاله.
  • تطبيق متصل: تطبيق تابع لجهة خارجية مسجل للوصول إلى منصة مثل Salesforce عبر أذونات معتمدة.
  • إبطال الرمز: عملية جعل الرمز غير صالح بحيث لا يمكن استخدامه بعد ذلك للوصول إلى API أو الحساب.