الصفحة الرئيسية
Cyber-Security

قائمة ضحايا اختراق OAuth في منصة كلو تتوسع مع مطالبة مجموعة

Cybersecurity Arab

وأوضحت شركتان متخصصتان في الأمن السيبراني، هما هونترس وريليا كويست، كيف استغل المهاجمون تكاملات بطاقات المعركة (Battlecards) المخترقة في منصة كلو لسرقة بيانات CRM ساندسفورس من عدة منظمات.

Klue OAuth breach victim list grows as Icarus hackers claim attack

تأكيد منصة كلو للاختراق

وفي بيان نشر هذا الأسبوع، أكد الرئيس التنفيذي لمنصة كلو، جيسون سميث، اكتشاف نشاط غير مصرح به في 12 يونيو/حزيران أثر على جزء من بنية تكاملات الشركة. وكتب سميث: «في 12 يونيو/حزيران، اكتشفنا نشاطًا غير مصرح به أثر على جزء من بنية تكاملات كلو. ومنذ ذلك الحين، نعمل جنبًا إلى جنب مع خبراء أمن سيبراني موثوقين لفهم ما حدث، ودعم عملائنا، واستعادة الاتصالات التي تعتمد عليها».

وأضاف سميث: «أظهرت التحقيقات أن المهاجم حصل على وصول من خلال بيانات اعتماد قديمة مخترقة مرتبطة بخدمة تكامل. واستخدم هذا الوصول للحصول على رموز OAuth المستخدمة للاتصال بمنصة كلو مع منصات خارجية معينة، بما في ذلك ساندسفورس، ثم تمكن من الوصول إلى بيانات داخل بيئات عملاء متصلة متعددة».

صورة توضيحية من المقال
صورة توضيحية من المقال

وأكدت الشركة عدم وجود أي دليل حتى الآن على تأثر المحتوى الخاص بالعملاء المخزن مباشرة داخل منصة كلو، وأن الحادث اقتصر على تكاملات الجهات الخارجية. وقالت كلو إنها ألغت بيانات الاعتماد والرموز المتأثرة فورًا، وأزالت التعليمات البرمجية غير المصرح بها، وأوقفت التكاملات المتأثرة، وأطلقت تحقيقًا، وأبلغت السلطات المختصة. كما أكدت الشركة تعاونها مع شركة كراودسترايك للمساعدة في الاستجابة للحادث.

تفاصيل الهجوم من قبل خبراء الأمن

ووجدت شركتا ريليا كويست وهونترس أن المهاجمين استخدموا بيانات اعتماد OAuth المسروقة المرتبطة بتكاملات منصة كلو للوصول إلى بيئات ساندسفورس الخاصة بالعملاء وسرقة بيانات واسعة النطاق. ولاحظت ريليا كويست أن المهاجمين قاموا بإنشاء رموز OAuth واستخدموا نصوص بايثون لاستعلام واجهة برمجة تطبيقات ساندسفورس لفترات طويلة أثناء سرقة البيانات.

وأفادت هونترس لاحقًا أن بيئتها الخاصة في ساندسفورس تأثرت باختراق منصة كلو، وأن البيانات المسروقة شملت جهات اتصال تجارية، ومراسلات مبيعات، ومعلومات تسعير، وسجلات أخرى.

مطالبة مجموعة إيكاروس بالمسؤولية

في حين سبق أن ربطت تقارير سابقة الحادث بمجموعة إيكاروس للابتزاز، أعلنت المجموعة مسؤوليتها علنًا على موقعها الخاص بتسريب البيانات. وجاء في المنشور: «كما سمعتم على الأرجح، تعرض موقع كلو.كوم للاختراق مؤخرًا. وتم استخراج بيانات العديد من مثيلات ساندسفورس الخاصة بشركات كانت شريكة لكلو».

وتابع المهاجمون بالضغط على منصة كلو والمنظمات المتأثرة للتواصل معهم عبر منصة الرسائل سشن لمنع تسريب البيانات المسروقة. وجاء المنشور بعد أن كشفت تقارير سابقة أن رسائل الابتزاز المرسلة إلى المنظمات المتأثرة كانت مرتبطة بمجموعة إيكاروس، كما ربطت هونترس العملية بالمجموعة من خلال معرفات رسائل سشن المستخدمة في رسائل الابتزاز وموقع تسريب بيانات المجموعة.

قائمة ضحايا الهجوم تتوسع

منذ ذلك الحين، كشفت منظمات أخرى عن تأثرها بالهجوم، بما في ذلك ريكوردد فيوتشر، وتانيوم، وجامف، وسبراوت سوشيال، وغونغ، وإنسورتي. وأكدت معظم هذه المنظمات أن الحادث أدى إلى سرقة بيانات من مثيلاتها في ساندسفورس، ولم يؤثر على منصاتها أو بنيتها التحتية أو معلومات الدفع أو أنظمة التشغيل الداخلية.

وحذرت عدة منظمات من أن المعلومات التجارية المسروقة يمكن استخدامها في حملات تصيد احتيالية لاحقة، وهندسة اجتماعية، وابتزاز، ودعت العملاء إلى اليقظة.

إرسال تعليق