اختراق Klue يطال Huntress وHackerOne و3 شركات أمنية أخرى

اختراق Klue يطال Huntress وHackerOne و3 شركات أمنية أخرى

أدى اختراق في منصة الاستخبارات السوقية Klue إلى حادثة اختراق لبيانات شركات الأمن السيبراني عبر سلسلة التوريد، مما أثر على بعض أبرز الأسماء في القطاع. وأكدت كل من Huntress وHackerOne وJamf وRecorded Future وTanium سرقة بياناتها كنتيجة مباشرة لاختراق Klue السابق. تُعد هذه الحادثة تذكيرًا صارخًا بأن حتى المؤسسات التي يقوم نموذج أعمالها بالكامل على حماية الآخرين يمكن أن تُسقطها جهة مورّدة وثقت بها.

شركات الأمن السيبراني المتضررة والبيانات المسروقة

تغطي الضحايا الخمس المؤكدة نطاقًا واسعًا من قطاع الأمن السيبراني. تركز Huntress على الكشف المُدار والاستجابة للشركات الصغيرة والمتوسطة. وتدير HackerOne إحدى أوسع منصات مكافآت اكتشاف الثغرات والإفصاح عن الثغرات الأمنية استخدامًا في العالم. وتتخصص Jamf في إدارة أجهزة Apple لعملاء المؤسسات. وتُعد Recorded Future مزودًا بارزًا لاستخبارات التهديدات. وتقدم Tanium إدارة نقاط النهاية والأمن على نطاق واسع.

جميع هذه الشركات الخمس هي عملاء لـ Klue. Klue هي منصة استخبارات سوقية تساعد الشركات على تتبع نشاط المنافسين، وعادةً ما تقوم باستيعاب البيانات من مجموعة من أدوات الأعمال المتصلة. وهذا الاتصال هو تحديدًا ما جعلها هدفًا عالي القيمة. نظرًا لأن Klue كانت تمتلك تكاملات مصرحًا بها مع أنظمة عملائها، فقد أصبح بالإمكان استخدام الاختراق في Klue كنقطة انطلاق إلى بيئات هؤلاء العملاء دون الحاجة إلى مهاجمتهم مباشرة على الإطلاق.

لم يتم الإفصاح الكامل عن البيانات المحددة المسروقة من كل شركة، إلا أن التعرض شمل أنظمة أعمال تواجه العملاء بدلًا من البنية التحتية التشغيلية الداخلية البحتة.

كيف تحول اختراق Klue إلى هجوم على سلسلة التوريد يستهدف بائعي الأمن

تُوضح آليات كيفية تدرج هذا الاختراق من شركة أبحاث سوقية واحدة إلى خمس شركات أمن سيبراني تحديدًا لماذا أصبحت هجمات سلسلة التوريد جذابة جدًا للجهات المهددة. بدلًا من محاولة اختراق بائع أمني محصّن بشكل مباشر، يقوم المهاجم باختراق هدف أضعف في السلسلة السابقة يمتلك المفاتيح بالفعل.

في حالة Klue، شمل ناقل الهجوم ثغرة في OAuth سمحت لمجموعة تهديد بالوصول غير المصرح به إلى بيانات Salesforce CRM المتصلة. كما ورد في تقارير سابقة عن اختراق OAuth في Klue الذي مكّن سرقة بيانات Salesforce CRM، استغلت مجموعة التهديد المعروفة باسم "Icarus" هذا الخلل في المصادقة للتحرك عرضيًا إلى بيئات Salesforce الخاصة بعدة عملاء لـ Klue. وبمجرد دخولهم إلى أنظمة CRM تلك، حصل المهاجمون على وصول إلى بيانات أعمال مهيكلة تعتبرها الشركات عادةً شديدة الحساسية: سجلات العملاء، ومعلومات خط أنابيب المبيعات، وسجل الصفقات، وجهات اتصال الحسابات.

هذا اختراق نموذجي لسلسلة التوريد. لم ترتكب المؤسسات الضحية أي خطأ تقني في كيفية تأمين بنيتها التحتية الخاصة. فقد جاء تعرضها بالكامل من الثقة بطرف ثالث فشل بدوره في حماية تكاملات OAuth التي يديرها بشكل كافٍ.

لماذا تُعد شركات الأمن أهدافًا عالية القيمة للجهات المهددة

قد يبدو غير بديهي أن تستهدف جهة تهديد شركات الأمن السيبراني تحديدًا. فهذه المؤسسات توظف ممارسين خبراء، وتحتفظ ببرامج أمنية ناضجة، وغالبًا ما تبني الأدوات ذاتها المستخدمة لكشف الهجمات والاستجابة لها.

لكن هذه الخبرة سلاح ذو حدين. تمتلك شركات الأمن بيانات شديدة الحساسية. منصة HackerOne مثلًا تقع عند تقاطع أبحاث الثغرات والإفصاح المؤسسي. وتجمع Recorded Future استخبارات تهديدات يمكن أن تكشف، إذا وقعت في الأيدي الخطأ، عما يعرفه المدافعون وما لا يعرفونه عن التهديدات النشطة. وتمتلك Huntress رؤية عميقة في شبكات آلاف الشركات الصغيرة. أي خصم يستطيع الوصول إلى أي من هذه الأنظمة لا يحصل على بيانات فحسب، بل على استخبارات استراتيجية حول النظام البيئي الأمني الأوسع.

علاوة على ذلك، غالبًا ما يكون بائعو الأمن مدمجين بعمق في بيئات العملاء تحديدًا لأن منتجاتهم تتطلب وصولًا مميزًا لأداء مهامها. وهذا التكامل يخلق مساحة هجوم أكبر، لا أصغر. الشركات المستهدفة في حادثة Klue لم تُخترق من خلال منتجاتها الخاصة، لكن قيمة ما كان يمكن الوصول إليه عبر أنظمة CRM الخاصة بها كانت على الأرجح كبيرة بما يكفي لجعل هذا الجهد مُجديًا.

يتردد صدى هذا النمط أيضًا مع حوادث سلسلة توريد بارزة أخرى حيث عمل بائعون وسيطون كنقطة دخول إلى مؤسسات كانت محمية جيدًا لولا ذلك. منصات أبحاث السوق والاستخبارات التنافسية، التي تتصل بشكل روتيني بأنظمة CRM وأدوات المبيعات لاستيعاب البيانات وتحليلها، تمثل فئة ناشئة من المخاطر لم تعطها العديد من فرق الأمن أولوية تاريخيًا في تقييمات البائعين.

ماذا يعني هذا بالنسبة لك

إذا كنت تعمل في أي من الشركات المتضررة أو معها، فإن الخطوة الفورية هي التحقق مما إذا كانت بيانات حسابك أو معلومات أعمالك مخزنة في بيئات Salesforce التي تم الوصول إليها. تواصل مع البائع مباشرة واطلب تفاصيل محددة حول فئات البيانات التي تعرضت للاختراق.

على نطاق أوسع، تعزز هذه الحادثة عدة ممارسات ملموسة لأي مؤسسة تقيّم تعرضها للمخاطر:

• راجع تكاملات OAuth وتكاملات الطرف الثالث بانتظام. أي منصة مرخص لها بالاتصال بـ CRM أو البريد الإلكتروني أو أدوات الأعمال لديها علاقة ثقة تحتاج إلى مراجعة وتحديد نطاقها بأدنى صلاحيات ضرورية.
• قم بتقسيم الوصول بشكل صارم. يجب أن يتلقى البائعون وصولًا فقط إلى البيانات التي يحتاجونها لأداء وظيفتهم المحددة. أداة الاستخبارات السوقية التي تحتاج إلى بيانات تتبع المنافسين لا تحتاج إلى وصول كامل إلى CRM.
• طبق استراتيجيات دفاع متعدد الطبقات عبر مجموعة البائعين لديك. لا يوجد إجراء أمني واحد كافٍ. طبقات المراقبة وضوابط الوصول وكشف الشذوذ عبر تكاملات البائعين تقلل من نصف قطر التأثير لأي اختراق فردي.
• تعامل مع قائمة البائعين لديك كجزء من مساحة الهجوم الخاصة بك. كل أداة SaaS تتصل بها مؤسستك هي نقطة دخول محتملة. يمكن للمراجعات الدورية لأي بائعين يحتفظون بأي بيانات اعتماد وصول أن تكشف عن تعرض غير متوقع قبل أن يكتشفه المهاجم.

تُعد حادثة Klue دراسة حالة مفيدة حول كيفية عمل هجمات سلسلة التوريد عمليًا. لم يكن المهاجمون بحاجة إلى التغلب على Huntress أو HackerOne في لعبتهم الخاصة. لقد وجدوا نقطة دخول أضعف، واستغلوها، وجمعوا ما كان موجودًا. بالنسبة للمستخدمين الواعين بالخصوصية والمؤسسات المدركة للأمن على حد سواء، الدرس هو أن وضعك الأمني لا يكون أقوى من أضعف تكامل في نظام البائعين البيئي الخاص بك. مراجعة هذه الاتصالات الآن، قبل الحادثة التالية، هي أكثر ما يمكن لأي مؤسسة القيام به قابلية للتطبيق العملي.