أعلن جهة تهديد سيبراني، تعمل تحت الهوية “1011”، عن استيلائه على بيانات حساسة من البنية التحتية لتطوير NordVPN وتسريبها عبر منتدى على شبكة الويب المظلم. يثير هذا الحادث مخاوف جدية حول أمن بيانات المستخدمين والشركات في ظل تطور التهديدات السيبرانية.
يشمل التسريب المزعوم أكثر من عشرة أكواد مصدر لقواعد بيانات، بالإضافة إلى بيانات اعتماد مصادقة حرجة. هذه الأصول يمكن أن تشكل مخاطر كبيرة على أمن تشغيل شركة VPN الرائدة، مما يستدعي استجابة سريعة من الشركة.
تسريب بيانات NordVPN يهدد أمن المستخدمين
وفقًا للمزاعم، تمكن الجهة المهاجمة من الوصول إلى الأنظمة عبر خادم تطوير غير مؤمن بشكل كافٍ في بنما. هذا الاكتشاف يسلط الضوء مرة أخرى على الثغرات الأمنية المستمرة في بيئات التطوير التي لا تحظى بالحماية الكافية، وهي مشكلة يعاني منها قطاع التكنولوجيا على نطاق واسع.
تشمل البيانات التي يُزعم أنها تم اختراقها مستودعات الكود المصدري لأنظمة NordVPN الأساسية، بالإضافة إلى مفاتيح واجهة برمجة التطبيقات (API) الخاصة بمنصة Salesforce، ورموز Jira. هذه المفاتيح تمنح وصولاً مباشراً إلى أدوات العمل الهامة المستخدمة في إدارة علاقات العملاء وتتبع المشاريع.
لقد نشر الجهة المهاجمة عينات من ملفات تفريغ SQL، والتي تكشف عن هيكل جداول قواعد البيانات الحساسة، مثل جدول “salesforce_api_step_details” وتكوينات “api_keys”. هذه العينات تعد دليلاً قوياً على الوصول إلى البنية التحتية الخلفية لـ NordVPN.
استغلال ثغرات التطوير
بدأت عملية الكشف عن التسريب في 4 يناير 2026، عندما شارك الجهة المهاجمة دليلاً عبر منتديات متخصصة. لاحظ محللو “Dark Web Informer” أن خوادم التطوير غالبًا ما تكون هدفًا جذابًا للمهاجمين بسبب إعدادات الأمان الأقل صرامة مقارنة ببيئات الإنتاج.
يعزز وجود معلومات حول بنية قواعد البيانات وهياكل مفاتيح API من خطر الهجمات اللاحقة على منظومة NordVPN الأوسع. هذه المعلومات يمكن استغلالها لتحديد نقاط ضعف أخرى أو لتشكيل هجمات أكثر تعقيداً.
كانت طريقة الهجوم ترتكز على “خربشة كلمات المرور” (credential brute-forcing) ضد الخادم الذي تم تكوينه بشكل غير صحيح. هذه التقنية، التي تتضمن تجربة مجموعات مختلفة من أسماء المستخدمين وكلمات المرور، لا تزال فعالة بشكل مقلق ضد الأنظمة التي تفتقر إلى التدابير الكافية للحد من وتيرة المحاولات والتحكم في الوصول.
ما يميز هذا الاختراق عن سرقة البيانات التقليدية هو الكشف عن الكود المصدري نفسه. هذا يمنح المهاجمين معرفة معمارية بالأنظمة التي يعتمد عليها ملايين المستخدمين لحماية خصوصيتهم.
تتجاوز تداعيات هذا الاختراق العمليات التشغيلية المباشرة لـ NordVPN. مع انتشار مفاتيح API ورموز Jira، يتسع المشهد الخطر ليشمل احتمالية التحرك الجانبي (lateral movement) داخل الخدمات المتكاملة، واحتمالية التلاعب بأنظمة إدارة المشاريع الداخلية.
يوصي باحثو الأمن بأن تجري NordVPN تدقيقات أمنية فورية لجميع البنى التحتية للتطوير، وتغيير بيانات الاعتماد المخترقة عبر جميع المنصات، وتعزيز بروتوكولات المصادقة مع فرض المصادقة متعددة العوامل. وينبغي للمنظمات التي تتعامل مع بيئات تطوير مماثلة تطبيق ضوابط وصول أقوى ومراقبة مستمرة لمنع وقوع اختراقات مشابهة.