1.5 مليار سجل Salesforce مسروق: تتابع SaaS

نُشر في مارس 25, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

اخترقت ShinyHunters مستودع GitHub الخاص بـ Salesloft، واستخرجت رموز OAuth الخاصة بـ Drift باستخدام TruffleHog، واستولت على 1.5 مليار سجل Salesforce من 760 شركة في عشرة أيام. استمر التتابع حتى 2026، حيث خسرت TELUS Digital ما يقارب بيتابايت من البيانات مع مطالبة ابتزاز بـ 65 مليون دولار، بينما اختُرقت Aura وCarGurus وضحايا آخرون عبر بيانات اعتماد مسروقة وهجمات تصيد صوتي.

خلاصة: يجب على أي منظمة تستخدم تكاملات SaaS مع رموز OAuth أو مفاتيح API مخزّنة أن تجرد فوراً جميع بيانات اعتماد الأطراف الثالثة وتفرض الحد الأدنى من الصلاحيات وتطبّق التدوير الآلي قبل التتابع القادم.

اقرأ التحليل الكامل ↓

🧭 رادار القرار (المنظور الجزائري)

الأهمية بالنسبة للجزائر
عالي
▾

تعتمد البنوك الجزائرية ومشغلو الاتصالات (Djezzy وMobilis وOoredoo) والمؤسسات بشكل متزايد على Salesforce وHubSpot وSlack ومنصات SaaS أخرى مع تكاملات OAuth واسعة. نفس ديناميكيات انتشار بيانات الاعتماد التي مكّنت هذا التتابع موجودة في المنظمات الجزائرية، وقليل منها يملك رؤية حول الوضع الأمني لـ SaaS.

البنية التحتية جاهزة؟
لا
▾

تفتقر معظم المنظمات الجزائرية إلى أدوات إدارة الوضع الأمني للبرمجيات كخدمة (SSPM) ولديها رؤية محدودة لبيانات الاعتماد المخزّنة عبر المنصات الخارجية. برامج إدارة مخاطر الأطراف الثالثة لموردي SaaS ناشئة أو غير موجودة.

المهارات متوفرة؟
جزئي
▾

تنمّي فرق الأمن السيبراني الجزائرية خبرتها في أمن الشبكات ونقاط النهاية، لكن أمن سلسلة توريد SaaS وإدارة رموز OAuth ومراقبة إساءة استخدام API هي تخصصات جديدة نسبياً تتطلب تدريباً وأدوات متخصصة.

الجدول الزمني للعمل
فوري
▾

يجب على المنظمات التي تستخدم Salesloft أو Drift تدوير بيانات اعتمادها الآن. يجب أن تبدأ جميع المنظمات بجرد بيانات اعتماد SaaS خلال الربع القادم.

أصحاب المصلحة الرئيسيون
مسؤولو أمن المعلومات، فرق أمن تكنولوجيا المعلومات، مسؤولو إدارة SaaS، مسؤولو المشتريات

نوع القرار
استراتيجي
▾

تكشف هذه الحملة عن خطر منهجي في بنية تكامل SaaS يتطلب تغييرات جوهرية في إدارة بيانات الاعتماد وتقييم مخاطر الموردين وممارسات مراقبة API.

خلاصة سريعة: يجب على المنظمات الجزائرية التحقق فوراً مما إذا كانت تستخدم Salesloft أو Drift أو أي تطبيق طرف ثالث متصل بـ Salesforce، وتدوير جميع رموز OAuth ومفاتيح API المرتبطة. على نطاق أوسع، تحتاج كل مؤسسة تعتمد على تكاملات SaaS إلى جرد بيانات الاعتماد المخزّنة في المنصات الخارجية، وفرض نطاقات OAuth بالحد الأدنى من الصلاحيات، وتطبيق التدوير الآلي لبيانات الاعتماد. بياناتكم آمنة بقدر أضعف منصة تخزّن رموز الوصول إلى أنظمتكم.

تشريح تتابع في سلسلة توريد البرمجيات كخدمة

لم يبدأ الاختراق باستغلال ثغرة يوم صفر أو بهجوم قوة غاشمة على جدار حماية مؤسسي. بدأ بالوصول إلى مستودع GitHub.

في مارس 2025، حصلت مجموعة تهديد يتتبعها Mandiant تحت تصنيف UNC6395 على حق الوصول إلى منظمة GitHub الخاصة بشركة Salesloft. على مدى الأشهر الأربعة التالية، قام المهاجمون بتنزيل مستودعات الكود، وإضافة مستخدم ضيف، وإنشاء مسارات عمل مستمرة للحفاظ على الوصول. لم يكن هدفهم الكود المصدري بحد ذاته، بل ما كان مضمّناً فيه: رموز OAuth لمنصة Drift، منصة التسويق التفاعلي التي استحوذت عليها Salesloft ودمجتها بعمق مع Salesforce.

باستخدام TruffleHog، أداة مفتوحة المصدر للكشف عن الأسرار مصممة لفرق الأمن الدفاعي، قام المهاجمون بمسح المستودعات المسروقة واستخراج رموز OAuth الخاصة بـ Drift المتصلة بمئات من مثيلات Salesforce للعملاء. بين 8 و18 أغسطس 2025، استخدمت UNC6395 هذه الرموز للاستعلام المنهجي وتصدير البيانات من أكثر من 700 بيئة Salesforce. وبحلول الوقت الذي عطّلت فيه Salesforce وSalesloft جميع تكاملات Drift في 20 أغسطس، كان الضرر قد وقع.

تدّعي المجموعة، التي عرّفت نفسها باسم ShinyHunters خلال اتصالات الابتزاز، أنها سرقت حوالي 1.5 مليار سجل Salesforce من 760 شركة: 579 مليون سجل Contact، و459 مليون سجل Case، و250 مليون سجل Account، و171 مليون سجل Opportunity، و60 مليون سجل User. من بين الضحايا Cloudflare وGoogle وPagerDuty وPalo Alto Networks وProofpoint وSpyCloud وTanium وZscaler.

لكن بيانات Salesforce لم تكن سوى الموجة الأولى. احتوت سجلات Case المسروقة على بيانات اعتماد بنص واضح، ومفاتيح AWS، ورموز وصول VPN، وبيانات اعتماد Snowflake مدفونة في تذاكر الدعم والاتصالات الداخلية. استخدمت ShinyHunters أداة TruffleHog مجدداً لتنقيب هذه البيانات بحثاً عن مسارات هجوم إضافية، محوّلةً اختراقاً واحداً إلى تتابع من بيانات الاعتماد امتد عبر البيئات السحابية طوال مطلع 2026.

ShinyHunters: من بائعي المنتديات إلى مبتزّين صناعيين

ظهرت ShinyHunters حوالي عام 2019 كمجموعة سرقة بيانات مدفوعة مالياً كانت تبيع قواعد البيانات المسروقة في المنتديات السرية مقابل 500 إلى 5,000 دولار للواحدة. شملت الأهداف المبكرة Tokopedia (91 مليون حساب، 2020) وWattpad (270 مليون سجل، 2020) وعشرات تطبيقات الويب ذات التخزين السحابي المكشوف أو مستودعات GitHub المعرّضة.

تغيّر النموذج التشغيلي للمجموعة جذرياً مع حملة Snowflake عام 2024. تُتبَّعت هذه العملية من قبل Mandiant تحت تصنيف UNC5537، واستخدمت بيانات اعتماد حصدتها برمجيات خبيثة من نوع infostealer للوصول إلى مستودعات بيانات Snowflake التابعة لـ AT&T وTicketmaster وSantander وأكثر من 160 منظمة أخرى. كشفت AT&T وحدها أنه تم الوصول إلى سجلات المكالمات والرسائل النصية لجميع عملائها اللاسلكيين تقريباً، أي نحو 110 مليون شخص. أثبتت حملة Snowflake أن استهداف نقاط الوصول على مستوى المنصات يولّد بيانات أكثر بكثير من اختراق الشركات فردياً.

طوّرت حملة Salesloft/Drift عام 2025 هذا النموذج أكثر. بدلاً من استغلال بيانات اعتماد الموظفين المسروقة واحدة تلو الأخرى، اخترق المهاجمون البنية التحتية للمنصة نفسها واستخرجوا رموز تكامل توفر وصولاً متزامناً لمئات البيئات في المصب. ثم صنّعوا الاستغلال باستخدام أدوات مسح آلية، متحولين من سرقة البيانات الحرفية إلى الاستخراج على نطاق صناعي.

لاحقت جهات إنفاذ القانون ShinyHunters عبر عدة ولايات قضائية. اعتُقل Sebastien Raoult، عضو فرنسي، في المغرب عام 2022، وسُلّم إلى الولايات المتحدة، وحُكم عليه بالسجن ثلاث سنوات مع 5 ملايين دولار تعويضات. اعتُقل Alexander Moucka، مواطن كندي مرتبط بحملة Snowflake، في أواخر 2024. واعتُقل أربعة أعضاء إضافيون في فرنسا في يونيو 2025. رغم هذه الاعتقالات، أعادت المجموعة تشكيل نفسها واستمرت في عملياتها، مع تداخلات ملحوظة بين ShinyHunters وScattered Spider وLapsus$ ضمن تجمّع فضفاض يعمل عبر قنوات Telegram مشتركة.

الأضرار المتتابعة

ولّد تتابع بيانات الاعتماد الناجم عن اختراق Salesloft/Drift سلسلة من الاختراقات في المصب امتدت حتى عام 2026.

عانت TELUS Digital من أشد التأثيرات. اكتشفت ShinyHunters بيانات اعتماد Google Cloud Platform لشركة TELUS Digital، أكبر مزود خدمات إدارة العمليات التجارية (BPO) في كندا، مضمّنة في بيانات Drift/Salesforce المسروقة. فتحت هذه البيانات الوصول إلى مثيلات BigQuery الخاصة بـ TELUS والعديد من الأنظمة السحابية. ادّعى المهاجمون استخراج ما يقارب بيتابايت واحد من البيانات، شملت سجلات مكالمات وكود مصدري ونتائج فحوصات خلفية FBI للموظفين وبيانات تدريب ذكاء اصطناعي وتسجيلات صوتية وتفاصيل أنظمة كشف الاحتيال لنحو 28 شركة عميلة. طالبت ShinyHunters بفدية قدرها 65 مليون دولار. أكدت TELUS Digital الاختراق في 12 مارس 2026، وأشارت المصادر إلى أن الشركة رفضت التفاوض مع المبتزين.

اختُرقت Aura، شركة حماية الهوية، عبر ناقل هجوم مكمّل. بينما وفّرت بيانات Salesloft/Drift معلومات استطلاع، جاء الاختراق الفعلي عبر التصيد الصوتي (vishing): اتصل المهاجمون بموظفي Aura، وانتحلوا صفة أطراف موثوقة، وأقنعوهم بتسليم بيانات اعتمادهم. ثم استغل المهاجمون ثغرة في نظام الدخول الموحد Okta للوصول إلى قاعدة بيانات تسويقية من استحواذ عام 2021، مما كشف 903,100 سجل تضمنت عناوين IP وأرقام هواتف وعناوين بريدية وتعليقات خدمة العملاء. أفصحت Aura عن الاختراق في 18 مارس 2026، مشيرة إلى أن الوصول غير المصرّح به استمر نحو ساعة واحدة قبل الإلغاء.

اختُرقت CarGurus، سوق السيارات الإلكتروني، في 13 فبراير 2026 عبر هجمات تصيد صوتي استهدفت الموظفين للحصول على رموز الدخول الموحد. كشف الاختراق 12.4 مليون سجل تحتوي على أسماء وعناوين وبيانات مالية، مما أطلق دعاوى قضائية متعددة. تسرّب نحو 2 مليون سجل من Crunchyroll، وخسرت Betterment حوالي 1.4 مليون سجل مستخدم، وتعرّضت Match Group لاختراق 10 ملايين سجل عبر Hinge وMatch.com وOkCupid.

لماذا أصبحت بيانات اعتماد التكامل SaaS سطح الهجوم الجديد

يكشف تتابع Salesloft/Drift عن ثغرة هيكلية في كيفية عمل منظومة البرمجيات كخدمة (SaaS) الحديثة. تستخدم المؤسسات الكبرى في المتوسط أكثر من 130 تطبيق SaaS، ويتصل كل تطبيق بالآخرين عبر رموز OAuth ومفاتيح API وبيانات اعتماد حسابات الخدمة المخزّنة في بيئات متعددة.

ثلاث ديناميكيات تجعل هذه البنية هشة بشكل فريد. أولاً، التكامل مشجّع وطبيعي. تتنافس منصات SaaS على قدرتها في الاتصال بأدوات أخرى، مما يخلق شبكات كثيفة من تبعيات بيانات الاعتماد لا يرسمها فريق واحد بالكامل. ثانياً، بيانات الاعتماد مفرطة الصلاحيات. تطلب أدلة التكامل عادةً منح وصول API واسع من أجل التوافق، حتى عندما يكفي الوصول للقراءة فقط. كانت رموز OAuth الخاصة بـ Drift التي مكّنت هذا الاختراق تملك صلاحيات قراءة Contacts وAccounts وCases وOpportunities وUsers عبر مثيلات Salesforce المتصلة. ثالثاً، نادراً ما يتم تدوير بيانات الاعتماد. تقوم العديد من المنظمات بتكوين التكاملات مرة واحدة ولا تعود إليها أبداً، تاركة الرموز صالحة لسنوات حتى بعد مغادرة الموظفين الذين أنشأوها.

يبرز استخدام TruffleHog في هذه الحملة واقع الاستخدام المزدوج في أدوات الأمن. صُممت TruffleHog بواسطة Truffle Security لمساعدة المدافعين في العثور على الأسرار المكشوفة في مستودعات الكود ومخازن البيانات. تحتوي على أنماط كشف لمئات أنواع بيانات الاعتماد. أعادت ShinyHunters توظيف هذه الأداة الدفاعية لأغراض هجومية، حيث مسحت أولاً مستودعات GitHub بحثاً عن رموز OAuth، ثم نقّبت بيانات Case المسروقة من Salesforce للعثور على بيانات اعتماد إضافية. جعلت قدرات الكشف الشاملة للأداة فعاليتها بديهية في كلا السياقين.

الأولويات الدفاعية بعد التتابع

يجب على المنظمات التي استخدمت Salesloft أو Drift معاملة جميع بيانات الاعتماد المتصلة على أنها مخترقة، وتدويرها فوراً، ومراجعة سجلات الوصول بحثاً عن نشاط API غير طبيعي خلال الفترة من أغسطس 2025 إلى مارس 2026.

للوضع الأمني الأوسع، تفرض هذه الحملة خمسة تغييرات هيكلية. جرد جميع بيانات الاعتماد لدى الأطراف الثالثة: استخدموا أدوات إدارة الوضع الأمني للبرمجيات كخدمة مثل Nudge Security وValence Security وAppOmni لرسم خريطة كل رمز OAuth ومفتاح API وحساب خدمة مخزّن عبر منصات SaaS. فرض مبدأ الحد الأدنى من الصلاحيات: لا تمنحوا أبداً وصول API إدارياً عندما تكفي صلاحيات القراءة فقط، وراجعوا صلاحيات التكامل الحالية مقابل الاستخدام الفعلي. أتمتة تدوير بيانات الاعتماد: أي بيانات اعتماد لا يمكن تدويرها تلقائياً يجب تمييزها للتدوير اليدوي الدوري، سنوياً كحد أدنى. اشتراط المصادقة متعددة العوامل المادية للوصول الإداري: تقاوم مفاتيح الأمان FIDO2 ناقلات التصيد الاحتيالي والبرمجيات الخبيثة من نوع infostealer التي مكّنت الاختراق الأولي لـ GitHub. مراقبة أنماط إساءة استخدام API: اكشفوا أحجام تصدير البيانات غير الطبيعية والوصول من مواقع غير متوقعة واستدعاءات API خارج ساعات العمل، لأن بيانات الاعتماد الصالحة ستتجاوز ضوابط الوصول التقليدية.

بُنيت اقتصاد البرمجيات كخدمة على وعد بأن الأدوات المترابطة تجعل الشركات أكثر إنتاجية. أثبتت ShinyHunters أن هذه الترابطات نفسها، المؤمّنة برموز مضمّنة في الكود بصلاحيات مفرطة ودون تدوير، يمكن أن تجعل الشركات عرضة للخطر بشكل كارثي على نطاق صناعي.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

كيف اخترقت ShinyHunters 760 شركة من نقطة وصول واحدة؟

اخترق المهاجمون مستودع GitHub الخاص بـ Salesloft في مارس 2025 واستخدموا TruffleHog لاستخراج رموز OAuth الخاصة بـ Drift المضمّنة في الكود المصدري. وفّرت هذه الرموز وصولاً مباشراً لمثيلات Salesforce لأكثر من 760 شركة كانت قد دمجت Drift للتفاعل مع العملاء. احتوت بيانات Case المسروقة من Salesforce بعد ذلك على بيانات اعتماد إضافية (مفاتيح AWS ورموز VPN) مكّنت اختراقات متتابعة مثل اختراق TELUS Digital.

ما الفرق بين UNC6395 وUNC6040 وShinyHunters؟

UNC6395 هو تصنيف Mandiant لمجموعة التهديد وراء اختراق سلسلة توريد Salesloft/Drift. أما UNC6040 فهو تصنيف Mandiant المنفصل الذي يُعرّف نفسه باستمرار باسم ShinyHunters أثناء اتصالات الابتزاز ويُعرف بهجمات التصيد الصوتي على عملاء Salesforce. رغم تشارك المجموعتين في التكتيكات والبنية التحتية، لم تدمجهما Google رسمياً. وتُتبّعت حملة Snowflake لعام 2024 تحت تصنيف آخر هو UNC5537.

ماذا يجب أن تفعل المنظمات الآن للحماية من تتابعات بيانات اعتماد SaaS؟

ابدأوا بجرد جميع رموز OAuth ومفاتيح API المخزّنة في منصات SaaS الخارجية باستخدام أدوات مثل Nudge Security أو AppOmni. دوّروا فوراً أي بيانات اعتماد متصلة بـ Salesloft أو Drift. افرضوا نطاقات الحد الأدنى من الصلاحيات على جميع التكاملات، واشترطوا مفاتيح FIDO2 المادية للوصول الإداري، وطبّقوا مراقبة لأنماط تصدير بيانات API غير الطبيعية. تعالج هذه التدابير الخمسة ناقلات الهجوم المحددة التي استغلتها ShinyHunters.