كشفت ثغرات أمنية خطيرة في منصة Cal.com، وهي أداة تنظيم مواعيد مفتوحة المصدر يستخدمها ملايين الأفراد والشركات، عن بيانات حساسة لمئات الملايين من المواعيد وحجوزات العملاء، مما يتيح اختراقاً كاملاً للحسابات. تم اكتشاف المشكلة من قبل باحثي الأمن مؤخراً، مما أثار قلقاً واسعاً حول أمان البيانات على المنصة.
تُعد Cal.com بديلاً شائعاً لمنصات مثل Calendly، حيث توفر ميزات متقدمة مثل مزامنة التقويمات، وجدولة الفرق، وعقد المؤتمرات عبر الفيديو. اكتشف الباحثون في 26 يناير 2026، أن مجرمي الإنترنت يمكنهم الدخول إلى أي حساب مستخدم والوصول إلى معلومات الحجوزات الخاصة بالمؤسسات بأكملها.
ثغرات Cal.com تثير مخاوف أمنية
تضمنت الثغرة المكتشفة في Cal.com Cloud سلسلة من ثلاث نقاط ضعف أمنية مترابطة. عملت هذه العيوب مجتمعة على تمكين المهاجمين من الاستيلاء على الحسابات بالكامل وسرقة تفاصيل الاجتماعات الخاصة، بما في ذلك أسماء الحضور، وعناوين البريد الإلكتروني، وسجل الحجوزات الكامل لملايين المواعيد المخزنة على المنصة.
تم اكتشاف هذه المشكلات الأمنية الحرجة من قبل محللي Gecko Security باستخدام أداة تحليل أمني مدعومة بالذكاء الاصطناعي قامت بفحص شفرة Cal.com المصدرية. كشف التحليل عن وجود فجوات متعددة في دفاعات المنصة يمكن استغلالها بشكل متسلسل.
آلية الهجوم الأمني
أوضح الباحثون كيف يمكن للأخطاء الدقيقة في المكونات الأساسية أن تتحد لتقويض حدود الأمان للمنصة بشكل كامل، مما يؤثر على حسابات المسؤولين والمستخدمين المدفوعين على حد سواء.
كانت أخطر الثغرات هي تجاوز المصادقة، والذي سمح للمهاجمين بالسيطرة على حسابات المستخدمين الحالية عبر رموز دعوة المؤسسات. بدأت الثغرة بتعطيل في وظيفة التحقق من صحة اسم المستخدم، والتي فشلت في التحقق بشكل صحيح مما إذا كان البريد الإلكتروني مسجلاً بالفعل.
عند محاولة التسجيل باستخدام رابط دعوة مؤسسي، قام النظام عن طريق الخطأ بالموافقة على تسجيل المستخدمين الذين لديهم حسابات بالفعل على المنصة. تمت عملية الهجوم عبر ثلاث خطوات، حيث سمحت الخطوة الأولى بتجاوز فحوصات الأمان للمستخدمين الموجودين بالفعل في المؤسسات. في الخطوة الثانية، بحثت عملية التحقق من البريد الإلكتروني فقط داخل مؤسسة المهاجم، مما فوت الضحايا في مؤسسات أخرى.
أما الخطوة الثالثة، فاستخدمت عملية قاعدة البيانات للعناوين البريدية الفريدة عالميًا لمطابقة المستخدمين، مما أدى إلى استبدال كلمة مرور الضحية بكلمة المرور التي اختارها المهاجم. لاستغلال ذلك، قام المهاجم ببساطة بإنشاء رابط دعوة قابل للمشاركة، وانتقل إلى صفحة التسجيل، وأدخل عنوان البريد الإلكتروني لأي ضحية وكلمة المرور التي اختارها، وحصل على وصول كامل للحساب.
لم يتم إرسال أي تحذير إلى المالك الفعلي للحساب. قامت Cal.com بإصلاح هذه المشكلة في الإصدار 6.0.8 بإضافة فحوصات وجود المستخدم المناسبة قبل التسجيل.
الثغرة الثانية كشفت عن بيانات الحجز من خلال مراجع الكائنات المباشرة غير الآمنة (IDOR) على نقاط نهاية واجهة برمجة التطبيقات (API)، مما سمح لأي مستخدم مصادق عليه بقراءة وحذف جميع الحجوزات على مستوى المنصة. قامت Cal.com بحظر الوصول المباشر إلى هذه المسارات الداخلية وأصدرت إصلاحات في غضون أيام من التقرير.