كشفت شركة “توكن سيكيوريتي” للأمن السيبراني عن وجود سلسلة من خمس ثغرات أمنية مترابطة في خدمة “Zapier” الشهيرة لأتمتة سير العمل، والتي كان من الممكن أن تمنح جهات خبيثة وصولاً إلى ملايين الحسابات وأنظمة خدماتها المتصلة.
لم تتطلب هذه الثغرات، التي تم الإفصاح عنها مؤخراً، برامج خبيثة أو وصولاً داخلياً، بل كان الشرط الوحيد، بحسب تقرير الشركة، هو امتلاك حساب مجاني في Zapier. ومن هذا المنطلق، نجح باحثو الشركة في ربط نقاط ضعف تبدو فردية وروتينية، لتفتح معاً مساراً للتحكم في واحدة من أكثر الخدمات استخداماً في عالمنا الرقمي.
ثغرات Zapier تفتح الباب لاختراقات واسعة
تتيح خدمة Zapier ربط وتنسيق البيانات بين البريد الإلكتروني، أدوات إدارة علاقات العملاء، بوابات الدفع، التقويمات، مستودعات الأكواد، وآلاف التطبيقات الأخرى. وتدعم الشركة أكثر من 8000 تكاملاً لجهات خارجية، ولديها ملايين المستخدمين، مما يجعل اختراق Zapier بمثابة هجوم سلسلة إمداد واسع النطاق.
أوضح الباحثون أن الهجوم الممكن كان سيبدأ باستغلال نقطة ضعف في كيفية كتابة المستخدمين لأجزاء صغيرة من الأكواد كجزء من عمليات الأتمتة الخاصة بهم. وبمجرد عزل هذه الميزة، تمكن الباحثون من استعادة بيانات اعتماد تسجيل الدخول التي كانت الخدمة تحاول حذفها. بدورها، كشفت هذه البيانات عن نظام تخزين داخلي يحتوي على أكثر من 1100 صورة برمجية خاصة بـ Zapier، إحداها كانت تحتوي على مفتاح نشر لقطعة برمجية تعمل داخل متصفح كل مستخدم مسجل دخوله في Zapier.
استغلال الثغرات لتنفيذ عمليات احتيالية
وفقاً للتقرير، كان بإمكان المهاجم، في حال تمكن من تحديث هذا الكود، أن يتصرف كمستخدم شرعي داخل المنصة. كان يمكنه إنشاء عمليات أتمتة جديدة، تعديل العمليات القائمة، والوصول إلى الاتصالات التي وافق عليها المستخدم مسبقاً مع خدمات خارجية. ومن خلال ذلك، يستطيع توجيه المنصة لإرسال رسائل بريد إلكتروني، نقل ملفات، استخلاص سجلات من قواعد بيانات العملاء، أو نشر رسائل، كل ذلك من حسابات تبدو قانونية بالكامل.
وشدد الباحثون على أن المهاجم المحتمل لم يكن ليتمكن من الحصول على كلمات المرور أو مفاتيح تسجيل الدخول للخدمات المتصلة، حيث تبقى هذه المعلومات على خوادم Zapier. ولكن نظراً لأن الإجراءات كانت ستتم عبر Zapier نفسها، فستبدو لأي نظام خارجي كأنها صادرة من المستخدم نفسه.
كشف مفاتيح وصول شخصية
في سياق متصل، كشف اكتشاف آخر تمت ملاحظته خلال نفس البحث عن مفتاح وصول ساري المفعول مرتبط بالحساب الشخصي للرئيس التنفيذي للتكنولوجيا في شركة ذكاء اصطناعي خارجية، والتي كانت تستخدم Zapier داخلياً. باستخدام هذا المفتاح، تمكن الباحثون من إرسال بريد إلكتروني من حساب Gmail الخاص بالمسؤول التنفيذي إلى صندوق بريد يسيطرون عليه.
وقد أبلغت “توكن سيكيوريتي” خدمة Zapier بوجود هذه القدرة، لكنها لم تستغلها. وأكد الباحثون أنهم امتلكوا إمكانية دفع تحديث خبيث إلى الكود الذي يعمل داخل متصفح كل مستخدم مسجل دخوله في Zapier، وبدلاً من ذلك، أبلغوا عن النتائج في فبراير ضمن برنامج مكافآت الأخطاء الخاص بالشركة.
استجابة سريعة ومعالجة شاملة
ذكر الباحثون أن Zapier تعاملت مع القضايا خلال أربعة أيام، وتمت معالجتها بالكامل في غضون ثلاثة أسابيع، وعملت الشركة معهم على السماح بالإفصاح. دفعت الشركة الحد الأقصى من المكافأة، وهو 3000 دولار، ولا يوجد لديها أي دليل على استغلال هذه الثغرات قبل إصلاحها.
تأتي هذه الواقعة في وقت تتزايد فيه شعبية منصات الأتمتة وأدوات الذكاء الاصطناعي، والتي تُمنح بشكل متزايد صلاحيات للتصرف نيابة عن المستخدمين عبر عشرات الخدمات دفعة واحدة. وحذر باحثو “توكن سيكيوريتي” من أن نقاط الضعف التي اكتشفوها ليست فريدة لـ Zapier، بل إن كل رابط في السلسلة كان نوعاً معروفاً من الأخطاء. وأكدوا أن الخلل يكمن في السلسلة نفسها، وأن نفس النمط، على الأرجح، موجود في شركات أخرى لم تقم بالتدقيق بعد.
تؤكد Zapier أن المشكلات قد تم إصلاحها وأن الإجراءات الإضافية غير مطلوبة. ومع ذلك، يقترح الباحثون على المؤسسات ذات الحساسية العالية مراجعة سجلات الأتمتة الخاصة بها للكشف عن أي شيء لم تنشئه، والنظر في إعادة ترخيص اتصالات Zapier بالأنظمة شديدة الأهمية.
يمكن الإطلاع على تقرير البحث الكامل على موقع Token Security.