أوقفت شركة Salesforce، الرائدة في مجال البرمجيات السحابية، التكامل مع تطبيق Klue Battlecards ضمن منصتها، وذلك استجابة لحادثة أمنية أثرت على شركة Klue المتخصصة في ذكاء الأعمال التنافسي في 11 يونيو 2026. وبحسب التنبيه الذي أصدرته الشركة الأمريكية هذا الأسبوع، فلن تتمكن المؤسسات من الاتصال بـ Salesforce عبر التطبيق حتى إشعار آخر.
أوضحت Salesforce أن فرق الأمن لديها رصدت نشاطًا غير عادي يتعلق بالتطبيق، مما قد يكون أدى إلى وصول غير مصرح به إلى مجموعة فرعية من بيانات العملاء عبر اتصال التطبيق بـ Salesforce. وأكدت الشركة أن هذه المشكلة تقتصر على اتصال تطبيق Klue ولا تنبع من ثغرة في منصة Salesforce نفسها.
توقف Salesforce عن تكامل Klue Battlecards بسبب حادثة أمنية
يأتي هذا التطور في الوقت الذي قامت فيه مجموعة إجرامية تُعرف باسم Icarus باختراق وسرقة بيانات من عملاء Klue، بما في ذلك شركة الأمن السيبراني Huntress. وبحسب ما ذكرت Huntress، فإن البيانات التي تم سحبها من حساب Salesforce الخاص بها اشتملت على جهات اتصال العمل وعروض الأسعار وبيانات ورسائل أخرى متعلقة بالمبيعات، ولم تتأثر بيانات التهديدات أو كلمات المرور أو معلومات بطاقات الدفع أو البيانات الهندسية المتعلقة بعميل Huntress أو القياس عن بعد الذي تجمعونه.
في تحديث منفصل، أكدت Klue أنها اكتشفت نشاطًا غير مصرح به أثر على جزء من بنيتها التحتية للتكامل في 12 يونيو 2026. وأضافت الشركة أن المهاجمين تمكنوا من الوصول عبر بيانات اعتماد قديمة مخترقة مرتبطة بخدمة تكامل.
قال الرئيس التنفيذي لشركة Klue، جيسون سميث: “استخدم المهاجم هذا الوصول للحصول على رموز OAuth المميزة المستخدمة لربط Klue بمنصات تابعة لجهات خارجية معينة، بما في ذلك Salesforce، ومن ثم الوصول إلى البيانات داخل عدد من بيئات العملاء المتصلة”. وأشار سميث إلى أن التحقيق حتى الآن يؤكد أن الحادث اقتصر على المنصات المتأثرة التابعة لجهات خارجية، ولا يوجد دليل على تأثر محتوى العملاء المخزن داخل منصة Klue.
وبشكل أكثر تحديدًا، سمح الاختراق للمتسللين بتحديث شفرة برمجية قادرة على جمع رموز OAuth المميزة التي يستخدمها عملاء Klue لتوصيل التطبيق بأنظمتهم الخاصة. ردًا على ذلك، قامت Klue بسحب بيانات الاعتماد والرموز المتأثرة، وإزالة الشفرة غير المصرح بها، وإيقاف الوصول عن بعد، وتعطيل عمليات التكامل التي يحتمل أن تكون متأثرة، بالإضافة إلى إطلاق تحقيق شامل.
وحتى 16 يونيو 2026، تلقى بعض موظفي Huntress رسائل بريد إلكتروني تحمل سطر الموضوع “بريد سري للغاية” مع تحذير ينص على: “تم تنزيل بيانات Salesforce الخاصة بك… لديك 48 ساعة للتواصل معنا. اتخذ القرار الصحيح”.
تفاصيل عمليات الاختراق والاشتباه في مجموعة Icarus
أوضحت Klue أن الجهة الفاعلة في التهديد يبدو أنها استغلت بيانات اعتماد قديمة جدًا ولكنها لا تزال نشطة، والتي أنشأتها Klue في الأصل للنموذج الأولي لتكامل تابع لطرف ثالث تم التخلي عنه لاحقًا. بعد ذلك، انتقل المهاجم إلى بنية Klue التحتية لسرقة الرموز المستخدمة من قبل عملاء Klue، ثم استخدم بيانات الاعتماد المسروقة هذه للاستعلام عن أدوات إدارة علاقات العملاء الخاصة بهؤلاء العملاء مباشرة، وفي النهاية لاستخراج البيانات.
لا يُعرف الكثير عن مجموعة Icarus بخلاف حقيقة أنها نشطة منذ 28 أبريل 2026، وقد أعلنت عن ضحيتين حتى الآن. ومع ذلك، فإن حملة سرقة البيانات هذه تشبه موجات الهجوم السابقة التي شنتها مجموعتي ShinyHunters و UNC6395.
قالت شركة ReliaQuest في تحليلها الخاص لإساءة استخدام تكامل Klue، إن النشاط يظهر تشابهًا مع أسلوب إساءة استخدام رموز OAuth التابعة لجهات خارجية المرتبطة بعمليات اختراق Salesloft Drift و Gainsight التي استهدفت بيئات Salesforce في العام الماضي.
أنماط الهجوم وسرقة البيانات الضخمة
أشار باحثو ReliaQuest، ثاساناي مكابي وأليكسا فيمينيللا، إلى أنه في الهجمات التي رصدوها، قام المهاجم أولاً بالمصادقة عبر حساب خدمة تكامل Klue مخترق، وأنشأ رموز OAuth، وشغّل نصوصًا برمجية آلية بلغة Python (يمكن التعرف عليها من خلال سلاسل وكيل المستخدم الخاصة بـ Python-urllib).
وأضافوا أن هذه النصوص البرمجية قامت أولاً بتعداد كتالوج كائنات المؤسسة عبر GET /services/data/v59.0/sobjects، ثم قامت بتكرار استعلامات واجهة برمجة التطبيقات REST ضد نقطة نهاية استعلام Salesforce (/services/data/v59.0/query) وتابعت النتائج عبر مؤشر QueryMore لمدة 24 ساعة تقريبًا.
يُعتقد أن هذه عبارة عن إجراءات استرداد بيانات مجمعة مصممة لسحب كميات كبيرة من سجلات إدارة علاقات العملاء عبر واجهة برمجة تطبيقات Salesforce REST. وشمل ذلك “دفعة مركزة” من ما يقرب من ألف استعلام في 15 دقيقة ضد بيئة واحدة على الأقل، وفترة استخراج استمرت أكثر من ست ساعات في حالة أخرى.
من غير الواضح عدد عملاء Salesforce الذين تأثروا بالهجمات الأخيرة، على الرغم من أن Klue ذكرت أنها تتواصل مباشرة مع العملاء المتأثرين، وتشارك نتائج التحقيقات، وتساعد في جهود الاستجابة الخاصة بهم.
واختتمت ReliaQuest بالقول: “القاسم المشترك هو إساءة استخدام رموز OAuth أو بيانات الاعتماد من بائع تابع لجهة خارجية موثوق به. هذه التكاملات هي هويات غير بشرية لها وصول مستمر، وغالبًا ما يكون واسعًا، إلى البيانات الحساسة، ومع ذلك، يتم مراقبتها بشكل أقل بكثير من حسابات الموظفين. وتلك الفجوة هي السبب في أن حلقة استعلام آلية مدتها 24 ساعة يمكن أن تعمل من حساب تكامل “موثوق” دون إطلاق الإنذارات المعتادة”.