في حادثة تسلط الضوء على مخاطر أمن التطبيقات المتكاملة، أعلنت شركة “سيلزفورس”، العملاقة في مجال خدمات السحابة الإلكترونية، عن اكتشاف نشاط غير معتاد يتعلق بتطبيقات منشورة من قبل شركة “غاينسايت” ومتصلة بمنصتها. التحقيقات الأولية تشير إلى أن هذا النشاط ربما مكّن جهات غير مصرح لها من الوصول إلى بيانات بعض عملاء “سيلزفورس” من خلال اتصال التطبيقات الخارجية، مما دفع الشركة إلى اتخاذ إجراءات فورية لاحتواء الوضع.
الإجراءات الوقائية: سحب التطبيقات وإبطال مفاتيح الوصول
رداً على الحادثة، قامت “سيلزفورس” بسحب جميع تطبيقات “غاينسايت” المتصلة بمنصتها بشكل فوري من “AppExchange”، السوق الرسمي للتطبيقات. بالإضافة إلى ذلك، قامت الشركة بإبطال جميع رموز الوصول والنشاط “Access and Refresh Tokens” المرتبطة بهذه التطبيقات، مما يقطع قناة الوصول غير المصرح به بشكل فوري. من جهتها، امتدت الإجراءات الوقائية لتشمل منصات أخرى، حيث تم سحب تطبيق “غاينسايت” مؤقتاً من سوق “هاب سبوت”، كما تم إلغاء صلاحية الوصول الخاص به من منصة “زينديسك”. وعلى الرغم من عدم الإفصاح عن العدد الدقيق للعملاء المتأثرين، أكدت “سيلزفورس” أنها قد أبلغت جميع العملاء المعنيين بالحادثة.
آلية الهجوم: استهداف بوابة الثقة “OAuth”
تكمن نقطة الاختراق الرئيسية في استغلال آلية “OAuth”، وهي بروتوكول قياسي يسمح للتطبيقات بالوصول إلى البيانات من منصات أخرى دون الحاجة إلى مشاركة كلمات المرور. في هذه الحالة، استهدف المهاجمون على الأرجح رموز “OAuth” الخاصة بتطبيقات “غاينسايت” المتصلة بـ “سيلزفورس”. عندما يمنح عميل ما الإذن لتطبيق “غاينسايت” للوصول إلى بياناته على “سيلزفورس”، يتم إنشاء رمز وصول “Token”. إذا تمكن المهاجمون من الحصول على هذا الرمز، سواء عن طريق اختراق الخادم الطرف الثالث الذي يحتفظ به أو عبر أي ثغرة أخرى، فإنهم يصبحون قادرين على الوصول إلى بيانات العميل في “سيلزفورس” كما لو كانوا التطبيق الشرعي نفسه. وأكدت “سيلزفورس” أن الحادث لم يكن ناتجاً عن أي ثغرة في منصتها الأساسية، بل كان مرتبطاً بالاتصال الخارجي للتطبيق.
الخلفية والمتهم الرئيسي: مجموعة “شايني هانترز” الإجرامية
تشير الأدلة والتحليلات الأمنية إلى أن هذه الحملة هي استمرار لنشاط مجموعة إجرامية إلكترونية معروفة باسم “شايني هانترز” أو “UNC6240”. وقد أكدت المجموعة نفسها، وفقاً لموقع “DataBreaches.Net“، أن هذه الهجمات هي من صنعها، مدعية أنها تمكنت من سرقة بيانات ما يقرب من 1000 منظمة من خلال موجتي الهجوم المستهدفتين لـ “سيلزفورس” و”غاينسايت”. الملفت للنظر أن هذة الهجمات تكرر نمط هجوم سابق تم اكتشافه في أغسطس الماضي ضد منصة “Salesloft Drift”، حيث استهدفت المجموعة نفسها رموز “OAuth” للتطبيقات المتكاملة للوصول إلى بيانات حساسة مثل تفاصيل جهات الاتصال التجارية والعناوين الإلكترونية وأرقام الهواتف ومعلومات تراخيص المنتجات.
توصيات أمنية عاجلة للمؤسسات
في أعقاب هذه الحادثة، يوصي الخبراء الأمنيون المؤسسات التي تستخدم منصة “سيلزفورس” بعدة إجراءات فورية. أولاً، مراجعة شاملة لجميع التطبيقات الطرفية المتصلة بحساب “سيلزفورس” وتقييم مستوى صلاحيات الوصول الممنوحة لكل منها. ثانياً، إلغاء تفويض الوصول “Revoke Tokens” لأي تطبيقات غير مستخدمة أو تبدو مشبوهة أو لم تعد هناك حاجة إليها. ثالثاً، تغيير كلمات المرور ومفاتيح الوصول ذات الصلة “Rotate Credentials” لأي تكاملات تم اكتشاف أنشطة غير طبيعية مرتبطة بها. هذه الحادثة تذكرنا بأن الثقة في تطبيق طرف ثالث تتطلب يقظة مستمرة، حيث أصبحت هذه التطبيقات بوابة جديدة يفضلها مجرمو الإنترنت للوصول إلى البيانات المركزية.
