خرق OAuth في كلو يغذي سرقة بيانات Salesforce CRM من Icarus

خرق OAuth في كلو يغذي سرقة بيانات Salesforce CRM من Icarus

أدى خرق أمني مؤكد لثغرة OAuth في منصة ذكاء السوق كلو إلى منح مجموعة التهديد المعروفة باسم "Icarus" وصولاً غير مصرح به إلى بيانات Salesforce CRM التابعة لمنظمات متعددة. ويقوم المهاجمون الآن بشن حملة ابتزاز نشطة ضد الشركات المتضررة، مما يجعل هذا الحادث واحدًا من أكثر حوادث اختراق SaaS عبر الطرف الثالث تأثيرًا في الذاكرة الحديثة. يُعتبر الحادث إشارة واضحة على أن الطريق الأقل مقاومة للوصول إلى بيانات المؤسسات يمر بشكل متزايد عبر تكاملات البرامج الموثوقة، وليس عبر الاختراقات المباشرة للشبكات.

كيف منح خرق OAuth في كلو Icarus إمكانية الوصول إلى بيانات Salesforce CRM

OAuth هو معيار تفويض مُعتمد على نطاق واسع يسمح للتطبيقات الخارجية بالوصول إلى الموارد نيابة عن المستخدم دون الكشف المباشر عن بيانات اعتماد تسجيل الدخول. في هذه الحالة، تعرضت كلو، التي توفر أدوات ذكاء تنافسي تربطها المؤسسات بأنظمتها الداخلية، لاختراق في تطبيق OAuth لديها. وقد فتح هذا الاختراق بابًا عبرت منه Icarus للوصول إلى بيئات Salesforce CRM عبر عدة مؤسسات.

التفاصيل التقنية مهمة هنا. بمجرد أن يخترق المهاجم رمز OAuth أو يستغل ثغرة في كيفية إصداره أو التحقق منه، فإنه يرث الصلاحيات التي يحملها هذا الرمز. إذا كانت كلو قد مُنحت وصولاً واسعًا إلى مثيل Salesforce الخاص بالعميل، كما تتطلب أدوات ذكاء السوق غالبًا لاستيراد بيانات المبيعات وخط الأنابيب، فإن Icarus تمكنت فعليًا من التواجد بنفس مستوى الوصول دون إثارة التنبيهات المعتادة القائمة على تسجيل الدخول التي تعتمد عليها فرق الأمن.

أتى الابتزاز بعد سرقة البيانات. ويبدو أن Icarus تعمل وفق نهج واضح: استخراج بيانات CRM الحساسة ثم الضغط على المؤسسات الضحية للدفع مقابل منع إطلاقها أو إساءة استخدامها.

لماذا تُعد تكاملات SaaS مع الأطراف الثالثة سطح هجوم متناميًا

يتناسب اختراق كلو مع نمط حذر منه خبراء الأمن لسنوات. تقوم المؤسسات بشكل روتيني بربط عشرات منصات SaaS بأنظمة الأعمال الأساسية مثل Salesforce، وغالبًا ما تمنح تلك المنصات صلاحيات واسعة أثناء عملية الإعداد ولا تعيد مراجعتها لاحقًا. كل واحدة من هذه الاتصالات تُعتبر جسرًا محتملاً بين بياناتك الأكثر حساسية ووضع الأمن الخاص بطرف آخر.

يُشار إلى هذا أحيانًا بمشكلة "سلسلة التوريد" في البرمجيات السحابية. قد تكون دفاعات مؤسستك قوية، لكن البائع الذي يمتلك ضوابط أضعف وترخيص OAuth واسع على نظام CRM الخاص بك يُعتبر مدخلًا جانبيًا وظيفيًا. مهاجمون مثل Icarus يدركون ذلك ويبحثون عنه بنشاط.

ومن الجدير بالذكر أيضًا أن هذه الاختراقات نادرًا ما تبدأ باستغلال تقني بحت. فإن أساليب الهندسة الاجتماعية، بما في ذلك حملات التصيد المصممة لسرقة رموز OAuth أو خداع الموظفين للتصريح بتطبيقات خبيثة، كثيرًا ما تكون نقطة الدخول عبر العنصر البشري قبل حدوث أي تلاعب تقني. لقد ازداد تعقيد تصيد OAuth تحديدًا، حيث يقوم المهاجمون بصياغة شاشات موافقة مقنعة تحاكي تدفقات ترخيص التطبيقات الشرعية.

ما البيانات التي تعرضت للاختراق وما هي المؤسسات المعرضة للخطر

تحتوي أنظمة Salesforce CRM على بعض أكثر البيانات التجارية حساسية التي تديرها المؤسسة: خطوط أنابيب المبيعات، وسجلات جهات اتصال العملاء، وقيم الصفقات، والملاحظات الداخلية حول العملاء المحتملين، وخطط الحسابات الاستراتيجية. بالنسبة لـ Icarus، فإن هذا النوع من المواد هو بالضبط ما يحقق أقصى قدر من الضغط في سيناريو الابتزاز. فالضحايا لا يواجهون فقط تعرضًا سمعيًا بل أيضًا ضررًا تنافسيًا إذا وصلت معلومات حساسة متعلقة بالصفقات إلى المنافسين أو نُشرت علنًا.

يؤثر الاختراق على عدة منظمات كانت قد ربطت كلو ببيئات Salesforce الخاصة بها، على الرغم من أن النطاق الكامل للضحايا لم يتم تأكيده علنًا. أي شركة استخدمت منصة ذكاء السوق من كلو ومنحتها وصول التكامل إلى مثيل Salesforce لديها ينبغي أن تعتبر نفسها متأثرة محتملة حتى تتمكن من تأكيد عكس ذلك من خلال تحقيقها الأمني الخاص.

تميل المؤسسات في القطاعات التي يكون فيها ذكاء السوق وظيفة أساسية، بما في ذلك التكنولوجيا، والخدمات المالية، وبرمجيات الشركات، إلى أن تكون من المستخدمين الكثيفين لمنصات مثل كلو وينبغي أن تُعطي الأولوية لمراجعتها.

الدفاعات متعددة الطبقات: الثقة الصفرية، الشبكات الافتراضية الخاصة (VPN)، وتقوية اتصالات OAuth

يعزز حادث كلو و Icarus سبب عدم كون نهج الأمن متعدد الطبقات اختياريًا للشركات التي تتعامل مع بيانات CRM وبيانات العملاء الحساسة. وهناك عدة ضوابط ذات أهمية خاصة هنا.

أولاً، تستحق صحة منح OAuth اهتمامًا فوريًا. ينبغي على المؤسسات مراجعة كل تطبيق خارجي لديه اتصال OAuth نشط مع الأنظمة الأساسية مثل Salesforce. قم بإلغاء المنح التي لم تعد ضرورية، وطبق مبدأ الامتياز الأقل على ما يتبقى. فالصلاحيات المحددة والمحصورة تقلل من نصف قطر الانفجار إذا تعرض أي بائع متصل للاختراق.

ثانيًا، تفترض نماذج الوصول بالثقة الصفرية أن أي اتصال، داخليًا كان أم خارجيًا، ليس جديرًا بالثقة تلقائيًا. إن تطبيق التحقق المستمر على اتصالات API وتكاملات SaaS، بدلاً من التعامل مع رموز OAuth المصرح بها على أنها آمنة بطبيعتها، يمكن أن يساعد في اكتشاف السلوك الشاذ حتى عندما تبدو بيانات الاعتماد شرعية.

ثالثًا، تضيف الأنفاق الشبكية المشفرة طبقة حماية للبيانات أثناء نقلها بين الأنظمة المتكاملة. تُعد بروتوكولات مثل SSTP، التي توجه حركة المرور عبر تشفير SSL/TLS، مثالاً واحدًا على كيفية تمكن المؤسسات من تقوية طبقة الشبكة بين المنصات المتصلة، مما يقلل من مخاطر الاعتراض حتى عندما تكون بيانات اعتماد مستوى التطبيق متورطة.

أخيرًا، يمكن أن توفر مراقبة أنماط الوصول غير العادية إلى البيانات في Salesforce نفسها، بما في ذلك عمليات التصدير الجماعية، أو استدعاءات API غير المتوقعة، أو الوصول من عملاء OAuth غير مألوفين، إنذارًا مبكرًا بوجود اختراق قيد التقدم بالفعل.

ما الذي يعنيه هذا بالنسبة لك

إذا كانت مؤسستك تستخدم تكاملات SaaS من طرف ثالث متصلة بـ Salesforce أو أي منصة CRM أخرى، فإن هذا الاختراق هو دعوة مباشرة للتحرك. تُظهر حملة Icarus أن المهاجمين لا ينتظرون منك أن ترتكب خطأ واضحًا. إنهم يستغلون علاقات الثقة بين بائعي البرامج الذين تعتمد عليهم يوميًا.

ابدأ بسحب قائمة كاملة بتطبيقات OAuth المصرح لها بالوصول إلى بيئة Salesforce الخاصة بك. راجع كل واحد منها من حيث الضرورة، ونطاق الصلاحيات، ووضع الأمن الخاص بالبائع الذي يقف وراءها. ثم أنشئ عملية دورية لإجراء هذه المراجعة، وليس مجرد تدقيق لمرة واحدة.

إن فهم كيفية بدء هجمات مثل هذه لا يقل أهمية. نظرًا لأن الهندسة الاجتماعية كثيرًا ما تسبق الاستغلال التقني، فإن تدريب الموظفين على التعرف على تصيد OAuth وطلبات التصريح المريبة يُعد خطوة عملية وعالية التأثير لا تتطلب ميزانية كبيرة. ولا تعمل الدفاعات متعددة الطبقات إلا عندما تُضمّن الطبقة البشرية.