Salesforce توقف تكامل تطبيق Klue بعد تسرب بيانات العملاء عبر استغلال رمز OAuth
بقلم Mag-Info Tech editorial · 2026-06-19
توقف تكامل تطبيق Klue في Salesforce بعد حادث أمني
أعلن منصة Salesforce إيقاف تكامل تطبيق Klue Battlecards داخل بيئتها الرقمية بعد اكتشاف نشاط مشبوه يتعلق بالتطبيق، والذي قد يكون سمح بالوصول غير المصرح به إلى بيانات عملاء عبر وصلة التطبيق بمنصة سلس فورس. وجاء هذا القرار في إطار تنبيه نشرته الشركة الأمريكية الأسبوع الماضي، مشيرة إلى أن الحادث لم ينجم عن ثغرة في منصة سلس فورس نفسها، بل عن استغلال غير مشروع لوصلات التطبيق الخارجية. وأوضح سلس فورس أن هذا الإجراء مؤقت، ولن يتمكن المستخدمون من ربط حساباتهم بالتطبيق حتى صدور إشعار آخر.
وتأتي هذه الخطوة في ظل تحقيق أمني جارٍ لفهم مدى تأثير الحادث على البيانات المتداولة عبر التطبيق. وأكد سلس فورس أن المشكلة محصورة في وصلة تطبيق كلو، ولا تمس سلامة المنصة الأساسية. ومع ذلك، فإن إيقاف التكامل يعني توقف الشركات عن استخدام ميزة Battlecards في سلس فورس لحين انتهاء التحقيقات وتطبيق الإجراءات التصحيحية اللازمة.
كيف حدث الاختراق: من compromised credential إلى OAuth tokens
كشفت شركة كلو، المزودة لحلول الذكاء التنافسي، عن تعرض جزء من بنيتها التحتية للتكاملات إلى اختراق في 12 يونيو 2026. وذكر الرئيس التنفيذي للشركة، جايسون سميث، أن المهاجمين تمكنوا من الوصول عبر بيانات اعتماد قديمة تم compromising لأحد خدمات التكامل. واستخدم المهاجمون هذه البيانات للحصول على رموز OAuth التي تربط كلو بمنصات خارجية، بما في ذلك سلس فورس.
وبمجرد حصولهم على هذه الرموز، تمكن المهاجمون من النفاذ إلى بيانات مخزنة داخل بيئات عملاء متصلة، مما سمح لهم بجمع معلومات حساسة. وأوضح سميث أن التحقيق الأولي يشير إلى أن الحادث اقتصر على المنصات الخارجية المتصلة، ولم يتطرق إلى المحتوى المخزن داخل منصة كلو نفسها. ومع ذلك، فإن الوصول إلى بيانات العملاء عبر سلس فورس يمثل خطراً كبيراً، خاصة وأن هذه البيانات تتضمن جهات اتصال تجارية وعروض أسعار وبيانات مبيعات.
دور مجموعة إيكاروس الإجرامية في تسريب البيانات
أعلنت مجموعة إجرامية تدعى إيكاروس مسؤوليتها عن تسريب بيانات عملاء كلو، بما في ذلك شركة Huntress المتخصصة في الأمن السيبراني. وذكرت إيكاروس أنها قامت بنسخ بيانات من حسابات سلس فورس التابعة لكلو، والتي شملت جهات اتصال تجارية وعروض أسعار ورسائل مبيعات. وأكدت شركة Huntress أن البيانات المسربة لم تشمل أي معلومات تتعلق بتهديدات أمنية أو كلمات مرور أو معلومات دفع أو بيانات هندسية تتعلق بوكيل Huntress أوTelemetry.
وأوضحت Huntress أن الحادث يسلط الضوء على المخاطر المرتبطة باستخدام تطبيقات خارجية متصلة بمنصات السحابة، خاصة تلك التي تتطلب وصولاً واسعاً إلى البيانات. في الوقت نفسه، نفت الشركة أي تأثير على عملائها أو بياناتهم الداخلية، مؤكدة أن الحادث اقتصر على البيانات المتداولة عبر حساب سلس فورس الخاص بها في كلو.
إجراءات كلو الاستباقية: إلغاء الرموز وإزالة التعليمات البرمجية الضارة
رداً على الحادث، اتخذت كلو عدة خطوات فورية لتأمين بيئتها الرقمية. فقد قامت الشركة بإلغاء جميع بيانات الاعتماد والرموز المتأثرة، وإزالة أي تعليمات برمجية غير مصرح بها تم تثبيتها خلال الحادث. كما أوقفت الشركة الوصول عن بُعد إلى أنظمة التكامل، وألغت جميع الروابط المشبوهة، وأطلقت تحقيقاً شاملاً لفهم مدى تأثير الحادث بدقة.
وأكدت كلو أن التحقيق لا يزال جارٍ، لكنها لم تجد أي دليل على أن محتوى العملاء المخزن داخل منصة كلو نفسها قد تأثر. ومع ذلك، فإن هذه الخطوات لا تعوض عن الأضرار المحتملة التي لحقت ببيانات العملاء المتصلة بمنصات خارجية مثل سلس فورس. ويبقى على كلو تقديم تقارير شفافة حول نتائج التحقيقات النهائية، بالإضافة إلى التدابير التي ستتخذها لمنع تكرار مثل هذه الحوادث في المستقبل.
الآثار المترتبة على شركات الأمن السيبراني مثل Huntress
أفادت شركة Huntress أن بعض موظفيها تلقوا رسائل بريد إلكتروني تحمل عنوان "رسالة سرية للغاية" مع تحذير يفيد بأن "بيانات سلس فورس الخاصة بهم قد تم تنزيلها"، مطالبين بالاستجابة خلال 48 ساعة. ورغم أن الشركة نفت أي تأثير على بياناتها الداخلية، فإن هذا الحادث يبرز المخاطر الأمنية التي تواجهها الشركات عند الاعتماد على تطبيقات خارجية متصلة بمنصات السحابة.
نتائج حقيقية من ذكاء MEFAI الاصطناعي.احصل على خصم 50 دولار على الخطة الاحترافية.
ممول · الأداء السابق لا يشير إلى النتائج المستقبلية. ليست نصيحة مالية.
ويشكل هذا الحادث تذكيراً قاسياً بضرورة مراجعة السياسات الأمنية المتعلقة بإدارة بيانات الاعتماد والرموز، خاصة تلك المستخدمة في التكاملات الخارجية. كما يجب على الشركات تقييمTrustworthiness لتطبيقاتها الخارجية بشكل دوري، وضمان تطبيق مبادئ الحد الأدنى من الامتيازات (least privilege) عند منح الأذونات اللازمة للتكاملات.
تأثير الحادث على منصة سلس فورس وسمعتها الأمنية
على الرغم من تأكيد سلس فورس أن الحادث لم ينجم عن ثغرة في منصتها، إلا أن إيقاف تكامل تطبيق كلو قد يؤثر على سمعتها كمنصة آمنة وموثوقة. فالمستخدمون يعتمدون على سلس فورس لحماية بياناتهم، ولهذا فإن أي حادث أمني، حتى وإن كان خارجياً، قد يثير تساؤلات حول مدى فعالية إجراءات الأمن في النظام البيئي الأوسع للمنصة.
من ناحية أخرى، أظهرت سلس فورس استجابة سريعة من خلال اتخاذها إجراءات فورية لإيقاف التكامل المشبوه، مما يعكس التزامها بحماية بيانات عملائها. ومع ذلك، فإن الحادث قد يدفع سلس فورس إلى مراجعة سياساتها المتعلقة بإدارة التطبيقات الخارجية، وضمان تطبيق معايير أمنية أكثر صرامة قبل السماح بتكاملات جديدة.
الدروس المستفادة: كيف تحمي شركتك من مخاطر التكاملات الخارجية
يوفر هذا الحادث دروساً قيّمة للشركات التي تعتمد على تطبيقات خارجية متصلة بمنصات السحابة.首先، يجب على الشركات مراجعة جميع بيانات الاعتماد المستخدمة في التكاملات الخارجية، وضمان عدم استخدام أي بيانات قديمة أو ضعيفة. كما ينبغي تطبيق مبدأ الحد الأدنى من الامتيازات، مما يعني منح الأذونات اللازمة فقط للوظائف المطلوبة، وليس أكثر.
ثانياً، يجب على الشركات مراقبة النشاط المشبوه في حساباتها، خاصة تلك المتعلقة بالتكاملات الخارجية. ويمكن استخدام أدوات مراقبة الوصول والتسجيل (logging) لكشف أي أنشطة غير عادية في وقت مبكر. ثالثاً، ينبغي إجراء تقييمات أمنية دورية للتطبيقات الخارجية، وضمان أن جميع التكاملات تلبي معايير الأمن الحالية.
مستقبل التكاملات الأمنية في السحابة: بين الراحة والمخاطر
على الرغم من أن التكاملات الخارجية توفر راحة كبيرة للشركات، إلا أنها تأتي مع مخاطر أمنية لا يمكن تجاهلها. فالحادث الذي تعرضت له كلو وسلس فورس يوضح أن أي ثغرة في نظام تكامل واحد يمكن أن تؤدي إلى تسرب بيانات حساسة عبر سلسلة من المنصات المتصلة.
في المستقبل، قد تلجأ الشركات إلى اعتماد نهج أكثر حذراً فيما يتعلق بالتكاملات الخارجية، مثل استخدام واجهات برمجة التطبيقات (APIs) ذات الأذونات المحدودة، أو الاعتماد على منصات توفر ميزات أمنية متقدمة مثل المصادقة متعددة العوامل (MFA) لكل تكامل. كما قد تدفع هذه الحوادث الشركات إلى تبني سياسات أكثر صرامة فيما يتعلق بمراجعة وتسجيل جميع التكاملات الخارجية، لضمان عدم ترك أي ثغرات يمكن استغلالها من قبل المهاجمين.
الخاتمة: حان الوقت لاتخاذ إجراءات أمنية حاسمة
يعد الحادث الذي تعرضت له كلو وسلس فورس بمثابة جرس إنذار للشركات التي تعتمد على التكاملات الخارجية في منصة السحابة. فالمخاطر الأمنية لا تزال قائمة، وتتطلب استجابة فورية من قبل جميع الأطراف المعنية. يجب على الشركات مراجعة سياساتها الأمنية، وضمان تطبيق أفضل الممارسات لإدارة بيانات الاعتماد والتكاملات الخارجية.
من ناحية أخرى، يجب على منصات السحابة مثل سلس فورس تعزيز إجراءات الأمن لديها، وضمان أن جميع التطبيقات الخارجية تخضع لمعايير صارمة قبل السماح بتكاملها. فالأمن السيبراني ليس مسؤولية شركة واحدة فحسب، بل هو جهد مشترك يتطلب تعاوناً مستمراً بين جميع الأطراف لضمان حماية البيانات الحساسة في بيئة رقمية متزايدة التعقيد.
المزيد في الأمن السيبراني والخصوصية
ثايكو تحث المستخدمين على سحب أموالهم بعد اختراق جسرها وسرقة 1.7 مليون دولار
ثايكو، الطبقة الثانية على إيثيريوم، تحث المستخدمين على سحب أموالهم فوراً بعد اكتشاف ثغرة في آلية التحقق من حالة السلسلة، مما سمح للمهاجمين بسرقة 1.7 مليون دولار من الجسور التابعة للشبكة.
ثغرة "الصك غير المحدود" تسرق 4.7 مليون دولار من شبكة Secret
استغل متسلل ثغرة "الصك غير المحدود" في عقد ذكي على شبكة Secret Network لسرقة 4.7 مليون دولار من عملات مشفرة، مما أثر على أصول Axelar المغلفة. اكتشف الاختراق بعد أسبوع من حدوثه.
شبكة AryStinger الخبيثة: كيف حولت آلاف موجهات D-Link إلى جنود في جيش إلكتروني خفي
اكتشفت شركة كيانسين للأمن الرقمي وجود شبكة خبيثة جديدة تدعى AryStinger استهدفت أكثر من 4 آلاف موجه D-Link قديم لتحويلها إلى نقاط وصول لحراس إلكترونيين خفيين، مما يهدد بسرقة البيانات واعتراض الاتصالات.