الأمن السيبراني والخصوصية

توسّع قائمة ضحايا اختراق OAuth في منصة كلو: مجموعة إيكاروس تتهم بالوقوف وراء الهجوم

بقلم Mag-Info Tech editorial · 2026-06-20

شهدت منصة كلو، المتخصصة في تحليلات الذكاء التنافسي، تصاعداً في تداعيات حادث أمني تعرضت له مؤخراً، بعد أن زعمت مجموعة إيكاروس الإجرامية مسؤوليتها عن الهجوم الذي استهدف رموز OAuth المستخدمة لربط منصة كلو ببيئات العملاء في منصة سيلزفورس. وتأتي هذه التطورات بعد تأكيد الشركة وقوع اختراق في بنيتها التحتية للتكامل، والذي سمح للمهاجمين بسرقة بيانات حساسة عبر واجهة برمجة التطبيقات الخاصة بسيلزفورس. بينما تعمل كلو على احتواء الأزمة بالتعاون مع خبراء الأمن السيبراني، فإن الكشف عن نطاق الهجوم وتأثيراته لا يزال في طور التحديد، مما يثير تساؤلات حول مدى استعداد المؤسسات لحماية هوياتها الرقمية في بيئات التكامل المعقدة.

كيف بدأ الاختراق: بوابة الدخول كانت اعتماديات قديمة

أعلنت منصة كلو رسمياً عن اكتشافها نشاطاً غير مصرح به في 12 يونيو/حزيران، والذي استهدف جزءاً من بنيتها التحتية الخاصة بالتكامل مع منصات خارجية. ووفقاً لتصريح صادر عن الرئيس التنفيذي للشركة، جيسون سميث، فإن المهاجمين استغلوا اعتماديات قديمة كانت تستخدم في عمليات تكامل سابقة، مما مكنهم من الحصول على وصول غير مصرح به إلى أنظمة التكامل. لم تكشف كلو عن تفاصيل حول كيفية compromising هذه الاعتماديات القديمة، لكنها أكدت أن المهاجمين تمكنوا من استخدام هذا الوصول للحصول على رموز OAuth التي تربط منصة كلو بمنصات خارجية، بما في ذلك منصة سيلزفورس. وتجدر الإشارة إلى أن رموز OAuth تُستخدم عادةً لمنح التطبيقات وصولاً آمناً إلى بيانات المستخدمين دون الحاجة إلى كلمات مرور، مما يجعلها هدفاً جذاباً للمهاجمين الذين يسعون إلى اختراق بيئات العملاء بشكل غير مباشر.

أكدت كلو أن التحقيق الأولي لم يجد أي دليل على أن محتوى العملاء الذي تم تخزينه مباشرة داخل منصة كلو قد تأثر بالاختراق. بدلاً من ذلك، ركز الهجوم على البيانات التي تم الوصول إليها عبر التكاملات الخارجية، مما يشير إلى أن المهاجمين استهدفوا بشكل أساسي البيانات التي تتم مشاركتها بين كلو ومنصات خارجية مثل سيلزفورس. بعد اكتشاف الاختراق، قامت كلو فوراً بإلغاء الاعتماديات affected وإزالة أي أكواد غير مصرح بها، بالإضافة إلى تعطيل التكاملات المتأثرة. كما أبلغت الشركة السلطات المختصة وبدأت في التعاون مع خبراء الأمن السيبراني، من بينهم فريق كراودسترايك، لفهم نطاق الهجوم بالكامل واتخاذ الإجراءات اللازمة لمنع تكراره.

مجموعة إيكاروس تتهم بالوقوف وراء الهجوم

في تطور جديد، أعلنت مجموعة إيكاروس، وهي جماعة إجرامية جديدة متخصصة في عمليات الابتزاز الإلكتروني، مسؤوليتها عن الهجوم على منصة كلو. وتزعم المجموعة أن المهاجمين تمكنوا من سرقة بيانات حساسة من بيئات عملاء كلو عبر منصة سيلزفورس، بما في ذلك سجلات الاتصالات التجارية والمعلومات المالية. وعلى الرغم من أن كلو لم تؤكد بعد مدى صحة هذه الادعاءات، إلا أن تقارير من شركات أمنية خارجية، مثل ريلاquest وهانترس، تدعم جزئياً هذه الادعاءات من خلال الكشف عن أن المهاجمين استخدموا رموز OAuth المسروقة للوصول إلى بيئات سيلزفورس الخاصة بعدد من العملاء.

أفادت شركة ريلاquest، التي رصدت نشاطاً مشبوهاً في بيئة سيلزفورس الخاصة بها، أن المهاجمين قاموا بإنشاء رموز OAuth جديدة واستخدموا نصوصاً برمجية بلغة بايثون لسرقة البيانات عبر واجهة برمجة التطبيقات الخاصة بسيلزفورس على مدى فترات طويلة. من جانبها، كشفت شركة هانترس أن بيئتها الخاصة بسيلزفورس قد تأثرت أيضاً بالاختراق، حيث تم سرقة بيانات تشمل جهات الاتصال التجارية، وسجلات المبيعات، والمعلومات التسعيرية، وغيرها من السجلات الحساسة. وتجدر الإشارة إلى أن هذه البيانات تعتبر حيوية للمؤسسات، خاصة في قطاعي المبيعات والعلاقات التجارية، مما يزيد من خطورة استخدام هذه البيانات في أنشطة ابتزاز أو بيعها في الأسواق السوداء.

كيف تم استغلال رموز OAuth: آلية الهجوم وكشفها

يعتمد هجوم منصة كلو على آلية معقدة استغلت نقاط ضعف في إدارة هويات التكامل. فبدلاً من مهاجمة منصة كلو نفسها بشكل مباشر، استهدف المهاجمون الاعتماديات القديمة التي كانت تستخدم في عمليات تكامل سابقة. بعد الحصول على وصول غير مصرح به إلى هذه الاعتماديات، تمكن المهاجمون من إنشاء رموز OAuth جديدة أو سرقة تلك الموجودة أصلاً، مما منحهم وصولاً مستمراً إلى بيئات عملاء كلو عبر منصات خارجية مثل سيلزفورس. وتعتبر رموز OAuth هدفاً جذاباً للمهاجمين لأنها توفر وصولاً طويل الأمد إلى البيانات دون الحاجة إلى كلمات مرور، مما يجعلها أقل عرضة للكشف مقارنة بهجمات الاعتماديات التقليدية.

أفادت تقارير من شركات الأمن السيبراني أن المهاجمين استخدموا نصوصاً برمجية مؤتمتة لاستغلال واجهة برمجة التطبيقات الخاصة بسيلزفورس. فعلى سبيل المثال، كشفت ريلاquest أن المهاجمين استخدموا بايثون لإنشاء نصوص برمجية تقوم باستعلام واجهة برمجة التطبيقات الخاصة بسيلزفورس على فترات طويلة، مما مكنهم من سرقة كميات كبيرة من البيانات دون إثارة الشكوك. هذه الآلية تبرز أهمية مراقبة أنشطة واجهة برمجة التطبيقات، خاصة تلك التي تتم عبر نصوص برمجية مؤتمتة، حيث يمكن أن تكون هذه الأنشطة مؤشراً على وجود هجمات مستمرة. كما كشفت تقارير هانترس عن أن المهاجمين قاموا بسرقة بيانات تشمل جهات الاتصال التجارية وسجلات المبيعات، مما يشير إلى أن الهدف الرئيسي كان جمع معلومات حساسة يمكن استخدامها في أنشطة ابتزاز أو بيعها في الأسواق السوداء.

تداعيات الهجوم: بيانات حساسة في خطر

على الرغم من تأكيد كلو أن محتوى العملاء الذي تم تخزينه داخل منصة كلو لم يتأثر بالاختراق، إلا أن البيانات التي تم الوصول إليها عبر التكاملات الخارجية، وخاصة منصة سيلزفورس، تشكل خطراً كبيراً على العملاء. فبيانات جهات الاتصال التجارية وسجلات المبيعات والمعلومات المالية تعتبر من الأصول الحيوية لأي مؤسسة، خاصة في قطاعي المبيعات والعلاقات التجارية. وقد كشفت تقارير من شركات أمنية خارجية أن المهاجمين تمكنوا من سرقة هذه البيانات، مما يزيد من خطر استخدامها في أنشطة ابتزاز أو بيعها في الأسواق السوداء.

التداول ليس قماراً. توقف عن المقامرة.

نتائج حقيقية من ذكاء MEFAI الاصطناعي.احصل على خصم 50 دولار على الخطة الاحترافية.

احصل على خصم 50 دولار على الخطة الاحترافية →

ممول · الأداء السابق لا يشير إلى النتائج المستقبلية. ليست نصيحة مالية.

تعتبر هذه الحادثة مثالاً آخر على كيفية استغلال المهاجمين لنقاط الضعف في إدارة هويات التكامل. فبينما تركز المؤسسات عادةً على حماية بياناتها الداخلية، فإنها قد تتجاهل مخاطر التكاملات الخارجية، وخاصة تلك التي تعتمد على رموز OAuth. هذا النوع من الهجمات يسلط الضوء على ضرورة مراجعة سياسات إدارة الهويات والتكاملات الخارجية بشكل دوري، بالإضافة إلى مراقبة أنشطة واجهة برمجة التطبيقات بحثاً عن أنشطة مشبوهة. كما يبرز أهمية استخدام تقنيات مثل إدارة دورة حياة الاعتماديات (Credential Lifecycle Management) ومراقبة الوصول إلى البيانات الحساسة بشكل مستمر.

استجابة كلو: إجراءات فورية وردود فعل متزايدة

بعد اكتشاف الاختراق، اتخذت منصة كلو إجراءات فورية لاحتواء الأزمة. فقامت الشركة فوراً بإلغاء الاعتماديات affected وإزالة أي أكواد غير مصرح بها، بالإضافة إلى تعطيل التكاملات المتأثرة. كما أبلغت السلطات المختصة وبدأت في التعاون مع خبراء الأمن السيبراني، من بينهم فريق كراودسترايك، لفهم نطاق الهجوم بالكامل واتخاذ الإجراءات اللازمة لمنع تكراره. وأكدت كلو في بيانها أن الشركة تعمل بشكل مستمر مع العملاء لتقديم الدعم اللازم واستعادة الروابط المتأثرة، مما يشير إلى أن الشركة تدرك خطورة الوضع وتسعى جاهدة للتخفيف من آثاره.

على الرغم من هذه الإجراءات الفورية، إلا أن الكشف عن مسؤولية مجموعة إيكاروس عن الهجوم يزيد من تعقيد الموقف. فالمجموعة الإجرامية تزعم أنها استولت على بيانات حساسة من بيئات عملاء كلو، مما يثير تساؤلات حول مدى صحة هذه الادعاءات وكيفية تأثيرها على سمعة الشركة وثقة عملائها. كما يبرز هذا التطور الحاجة إلى مزيد من الشفافية من جانب كلو بشأن نطاق الهجوم وتأثيراته، بالإضافة إلى تقديم تفاصيل حول الإجراءات التي يتم اتخاذها لحماية بيانات العملاء في المستقبل. فالمؤسسات التي تتعرض لاختراقات من هذا النوع تواجه ليس فقط مخاطر قانونية وتنظيمية، بل أيضاً مخاطر على سمعتها وثقة عملائها، مما قد يؤثر على استقرارها في السوق على المدى الطويل.

دروس مستفادة: حماية هويات التكامل في بيئات الذكاء الاصطناعي

تسلط حادثة منصة كلو الضوء على مخاطر إدارة هويات التكامل في البيئات التي تعتمد على الذكاء الاصطناعي. فمع تزايد استخدام الذكاء الاصطناعي في تحليلات الأعمال، أصبحت منصات مثل كلو تعتمد بشكل كبير على تكاملات خارجية للحصول على البيانات وتحليلها. ومع ذلك، فإن هذه التكاملات قد تشكل نقاط ضعف يمكن استغلالها من قبل المهاجمين، خاصة إذا لم يتم إدارتها بشكل صحيح. فعلى سبيل المثال، يمكن للمهاجمين استغلال رموز OAuth للحصول على وصول طويل الأمد إلى البيانات الحساسة دون الحاجة إلى كلمات مرور، مما يجعلها هدفاً جذاباً لهم.

تعتبر هذه الحادثة بمثابة تذكير للمؤسسات بضرورة مراجعة سياسات إدارة هويات التكامل بشكل دوري، بالإضافة إلى مراقبة أنشطة واجهة برمجة التطبيقات بحثاً عن أنشطة مشبوهة. كما يبرز أهمية استخدام تقنيات مثل إدارة دورة حياة الاعتماديات ومراقبة الوصول إلى البيانات الحساسة بشكل مستمر. فالمؤسسات التي تعتمد على الذكاء الاصطناعي في تحليلاتها يجب أن تدرك أن هويات التكامل هي بمثابة مفاتيح للدخول إلى بياناتها، ويجب معاملتها على أنها هويات مستخدمين عادية، بل وأكثر حساسية، نظراً للدور الحيوي الذي تلعبه في عمليات التكامل.

ما يجب على المؤسسات فعله الآن: خطوات عملية لحماية البيانات

بعد الكشف عن هجوم منصة كلو، يجب على المؤسسات التي تعتمد على تكاملات خارجية، وخاصة تلك التي تستخدم رموز OAuth، اتخاذ خطوات فورية لحماية بياناتها.首先، يجب على المؤسسات مراجعة جميع الاعتماديات والتكاملات الخارجية المستخدمة لديها، والتأكد من عدم وجود اعتماديات قديمة أو مهجورة يمكن استغلالها من قبل المهاجمين. كما يجب عليها تحديث سياسات إدارة الهويات بشكل دوري، وضمان أن جميع الاعتماديات используются principles of least privilege، مما يعني منح أقل قدر ممكن من الأذونات اللازمة لكل تكامل.

ثانياً، يجب على المؤسسات مراقبة أنشطة واجهة برمجة التطبيقات بحثاً عن أنشطة مشبوهة، مثل الاستعلامات المتكررة أو scripts مؤتمتة غير معتادة. يمكن استخدام أدوات مراقبة واجهة برمجة التطبيقات (API Monitoring) للكشف عن هذه الأنشطة في الوقت الفعلي، مما يتيح للمؤسسات الاستجابة السريعة لأي تهديدات محتملة. كما يجب عليها تحديث أنظمة الأمان الخاصة بها بشكل دوري، وضمان أن جميع الاعتماديات والتكاملات الخارجية تستخدم أحدث تقنيات الأمان، مثل التشفير المتقدم وإدارة دورة حياة الاعتماديات.

أخيراً، يجب على المؤسسات إعداد خطط استجابة للحوادث (Incident Response Plans) تشمل إجراءات واضحة للتعامل مع الاختراقات الأمنية. فالتحضير المسبق يمكن أن يقلل بشكل كبير من تأثير أي هجوم محتمل، ويساعد على استعادة البيانات والعمليات بسرعة. كما يجب عليها التعاون مع خبراء الأمن السيبراني، مثل كراودسترايك، للحصول على الدعم الفني اللازم في حالة وقوع حادث أمني. فالمؤسسات التي تعتمد على تكاملات خارجية يجب أن تدرك أن حماية هويات التكامل هي مسؤولية مشتركة بين المزودين والعملاء، ويجب عليها اتخاذ جميع الإجراءات اللازمة لضمان أمان بياناتها.