أعلنت شركة Salesforce عن تعطيل تكامل تطبيق Klue Battlecards داخل منصتها عقب حادثة أمنية وقعت في 11 يونيو 2026، أدت إلى كشف بيانات عملاء نتيجة إساءة استخدام رموز OAuth. هذا القرار يعني أن المؤسسات لن تتمكن من ربط التطبيق بـ Salesforce حتى إشعار آخر، في خطوة تهدف إلى حماية العملاء من أي وصول غير مصرح به.
تفاصيل الحادثة وأسلوب الاختراق
وفقًا لبيان Salesforce، فإن فرق الأمن رصدت نشاطًا غير اعتيادي عبر التطبيق قد يكون أدى إلى وصول غير مصرح به إلى بيانات بعض العملاء. وأوضحت الشركة أن المشكلة مرتبطة حصريًا بتكامل Klue ولا تعود إلى ثغرة في منصة Salesforce نفسها.
من جانبها، كشفت شركة Klue أن المهاجمين استغلوا بيانات اعتماد قديمة مرتبطة بخدمة تكامل مهجورة، ليتمكنوا من الحصول على رموز OAuth التي تربط Klue بمنصات طرف ثالث مثل Salesforce. هذا الاختراق سمح لهم بتنفيذ استعلامات واسعة النطاق عبر واجهات REST API الخاصة بـ Salesforce وسحب كميات ضخمة من سجلات العملاء.
دور مجموعة Icarus والابتزاز الإلكتروني
المجموعة المهاجمة المعروفة باسم Icarus أعلنت مسؤوليتها عن الهجوم عبر موقع تسريبات خاص بها، مؤكدة أنها حصلت على بيانات من عدة بيئات Salesforce مرتبطة بـ Klue. وقد تلقت بعض الشركات المتضررة رسائل ابتزاز بعنوان “top secret email” تطالبها بالتواصل خلال 48 ساعة.
من بين الضحايا المعلنين شركات أمنية بارزة مثل Huntress، التي أكدت أن البيانات المسربة اقتصرت على معلومات تجارية مثل جهات الاتصال والعروض السعرية، دون أن تشمل كلمات مرور أو بيانات حساسة تتعلق بمنتجاتها الأمنية.
الشركات المتأثرة وسيناريوهات الهجوم
إلى جانب Huntress، أعلنت شركات أخرى مثل Jamf وRecorded Future وTanium عن تأثرها بالحادثة، حيث تم تسريب بيانات تجارية ومعلومات عقود وعناوين بريد إلكتروني وأرقام هواتف.
تحليل شركة ReliaQuest أظهر أن المهاجمين اعتمدوا على سكربتات آلية بلغة Python لتنفيذ آلاف الاستعلامات المتتابعة عبر واجهات Salesforce، في عملية استمرت أكثر من 24 ساعة، ما سمح لهم بجمع كميات ضخمة من البيانات دون أن تثير أنشطة الحسابات الموثوقة أي إنذارات أمنية.
أبعاد أوسع: تهديدات سلسلة توريد SaaS
الحادثة تسلط الضوء على خطورة هجمات سلسلة توريد SaaS، حيث لم يعد المهاجمون يستهدفون المؤسسات بشكل فردي، بل يركزون على مزودي الخدمات السحابية الذين يمنحونهم وصولًا مباشرًا إلى مئات البيئات المؤسسية دفعة واحدة.
كما أوضحت شركة Obsidian Security، فإن الاعتماد على هويات غير بشرية مثل تكاملات التطبيقات يمنح المهاجمين وصولًا واسعًا ومستمرًا إلى البيانات الحساسة، في حين أن هذه الحسابات غالبًا ما تخضع لمراقبة أقل مقارنة بحسابات الموظفين.






























