اختراق مُدمج SaaS: كيف فتحت الرموز المسروقة عشرات حسابات Snowflake

نُشر في أبريل 12, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

اخترق ShinyHunters منصة التحليلات السحابية Anodot في أبريل 2026 واستخدم رموز مصادقة مسروقة للوصول إلى مثيلات Snowflake لعشرات الشركات، بما في ذلك Rockstar Games وCisco وTelus. يعكس الهجوم نمطاً متنامياً من اختراقات سلسلة التوريد SaaS: وجد تقرير Vorlon 2026 لمسؤولي الأمن أن 99.4% من المؤسسات واجهت حادثاً أمنياً في بيئة SaaS أو الذكاء الاصطناعي في 2025، مع اختراق 27.4% عبر رموز OAuth أو مفاتيح API مخترقة.

خلاصة: يثبت اختراق Anodot أن المصادقة متعددة العوامل وحدها لا تستطيع حماية مستودعات البيانات السحابية عندما يحتفظ المُدمجون الخارجيون برموز طويلة الأمد تتجاوز المصادقة البشرية بالكامل.

اقرأ التحليل الكامل ↓

🧭 رادار القرار (عدسة الجزائر)

الأهمية بالنسبة للجزائر
عالي
▾

تعتمد المؤسسات والجهات الحكومية الجزائرية بشكل متزايد على منصات سحابية مثل Snowflake وتربط أدوات SaaS خارجية للتحليلات والمراقبة. نفس نموذج الثقة بالمُدمج الذي أتاح هذا الاختراق ينطبق على أي مؤسسة تستخدم تحليلات متصلة بالسحابة.

البنية التحتية جاهزة؟
جزئي
▾

يتنامى اعتماد السحابة في الجزائر لكن معظم المؤسسات تفتقر إلى أدوات مخصصة لإدارة وضع أمن SaaS. قدرات حوكمة الرموز ومراقبة OAuth محدودة خارج شركات الاتصالات والبنوك الكبرى.

المهارات متوفرة؟
جزئي
▾

قلة من فرق الأمن الجزائرية تمتلك خبرة في أمن سلسلة توريد SaaS وتدقيق رموز OAuth أو أدوات SSPM. فجوة المهارات كبيرة مقارنة بتطور التهديد.

الجدول الزمني للعمل
فوري
▾

يجب على المؤسسات التي تستخدم أي مُدمج SaaS خارجي يملك وصولاً لبيانات حساسة أن تُدقق صلاحيات الرموز وسياسات التدوير الآن، قبل أن يستهدف هجوم مماثل بيئتها.

أصحاب المصلحة الرئيسيون
مسؤولو أمن المعلومات

نوع القرار
تكتيكي
▾

يحدد هذا المقال ثغرة أمنية محددة وقابلة للتنفيذ تتطلب تغييرات تشغيلية فورية في حوكمة الرموز وضوابط وصول الطرف الثالث، وليس تخطيطاً استراتيجياً طويل المدى.

خلاصة سريعة: يجب على المؤسسات الجزائرية التي تستخدم منصات بيانات سحابية أن تُجري فوراً جرداً لكل تكامل خارجي يحتفظ برموز مصادقة لأنظمة الإنتاج. فرضوا تدوير الرموز كل 90 يوماً، وطبّقوا كشف الشذوذ على نشاط حسابات الخدمة، واشترطوا تقييمات أمنية لأي مورد SaaS يتصل بالبنية التحتية الأساسية. تكلفة التدقيق ضئيلة مقارنة بتكلفة اختراق عبر موصل تحليلات غير مُراقب.

اختراق واحد، عشرات الضحايا

في أوائل أبريل 2026، اخترقت مجموعة الابتزاز ShinyHunters منصة Anodot، وهي منصة تحليلات سحابية مدعومة بالذكاء الاصطناعي تستخدمها المؤسسات لاكتشاف الشذوذات التجارية في الوقت الفعلي. لم يستهدف المخترقون بيانات Anodot. استهدفوا شيئاً أكثر قيمة بكثير: رموز المصادقة التي تحتفظ بها Anodot للاتصال ببيئات السحابة الخاصة بعملائها.

عملت هذه الرموز كبيانات اعتماد موثوقة بين Anodot والمنصات التابعة، وعلى رأسها Snowflake، مستودع البيانات السحابي الذي تستخدمه آلاف المؤسسات. بالرموز في أيديهم، وصل ShinyHunters إلى مثيلات Snowflake لعشرات الشركات دون الحاجة لكسر كلمة مرور واحدة أو تجاوز المصادقة متعددة العوامل.

أكد Snowflake وجود “نشاط غير اعتيادي” يؤثر على عدد صغير من العملاء. بحلول وقت الكشف عن الاختراق، أظهرت صفحة حالة Anodot توقف جميع الموصلات في كل المناطق، بما في ذلك Snowflake وAmazon S3 وAmazon Kinesis.

قائمة الضحايا تتزايد

تبنّى ShinyHunters المسؤولية علنياً وصرّح بأنه سرق بيانات من “عشرات الشركات”. من بين الضحايا المؤكدين أو المُبلغ عنهم Rockstar Games، الاستوديو خلف Grand Theft Auto، إلى جانب عملاق الشبكات Cisco وشركة الاتصالات الكندية Telus والمزود الهولندي Odido.

أكدت Rockstar Games الاختراق واعترفت بأن ShinyHunters حدد مهلة فدية في 14 أبريل 2026، مهدداً بتسريب بيانات سرية إذا لم تُلبَّ المطالب. صرحت الشركة بأن المواد المسروقة كانت “معلومات مؤسسية غير جوهرية”، رغم أن التقارير تشير إلى أن البيانات تشمل سجلات مالية من GTA Online وRed Dead Online وجداول تسويق وعقود مع مالكي المنصات.

حاول المهاجمون أيضاً التوسع نحو بيئات Salesforce باستخدام نفس الرموز المسروقة لكن تم اكتشافهم وحظرهم قبل أن يتمكنوا من استخلاص البيانات.

لماذا الرموز هي بيانات الاعتماد الجديدة

هذا الهجوم ليس شذوذاً. إنه أحدث وأبرز مثال على نمط حذّر منه باحثو الأمن منذ 2025 على الأقل: هجمات سلسلة التوريد SaaS-إلى-SaaS المدعومة برموز OAuth وأجلات API المسروقة.

الآلية بسيطة. عندما تربط المؤسسات أدوات تحليلات أو مراقبة أو أتمتة خارجية بمنصاتها الأساسية، تمنح تلك الأدوات رموز مصادقة بصلاحيات واسعة. هذه الرموز غالباً ما تعيش إلى أجل غير مسمى ونادراً ما تُجدَّد وتوجد خارج نطاق حوكمة الهوية التقليدية. اخترق المُدمج وسترث وصوله إلى كل عميل.

الأرقام ترسم صورة قاتمة. وجد استطلاع Vorlon لـ 500 مسؤول أمن معلومات أمريكي المنشور في مارس 2026 أن 99.4% من المؤسسات واجهت حادثاً أمنياً واحداً على الأقل في بيئة SaaS أو الذكاء الاصطناعي في 2025. الأكثر دلالة: 89.2% من مسؤولي الأمن ادّعوا حوكمة قوية لرموز OAuth، لكن 27.4% اختُرقوا عبر رموز أو مفاتيح API مخترقة في نفس العام.

يأتي حادث Anodot ضمن نمط تصاعدي من هجمات سلسلة التوريد SaaS. في أغسطس 2025، امتدت اختراقات رموز OAuth لـ Salesloft-Drift إلى أكثر من 700 مؤسسة، بما فيها Cloudflare وPalo Alto Networks وZscaler. بعد ثلاثة أشهر، أصاب اختراق Gainsight أكثر من 200 مثيل Salesforce. اتبع كل هجوم نفس السيناريو: اخترق المُدمج، اجمع الرموز، انهب العملاء.

قصة أمن Snowflake غير المكتملة

بالنسبة لـ Snowflake، هذا صدى مؤلم. في 2024، اخترقت مجموعة ShinyHunters (المتتبعة كـ UNC5537) 165 بيئة عميل Snowflake باستخدام بيانات اعتماد سرقتها برمجيات خبيثة من نوع infostealer. أصابت تلك الموجة AT&T وTicketmaster وSantander وNeiman Marcus. أكثر من 80% من الحسابات المخترقة لم تكن تستخدم MFA. دفعت AT&T وحدها فدية بقيمة 370,000 دولار بعد استخلاص بيانات وصفية لمكالمات جميع عملائها الأمريكيين تقريباً.

ردّ Snowflake بقوة، فارضاً MFA على جميع المستخدمين البشريين بحلول نوفمبر 2025 ومتطلباً كلمات مرور بحد أدنى 14 حرفاً. نجح الإصلاح لنوع هجوم 2024. لكن اختراق Anodot في 2026 يكشف القيد: تحمي MFA الباب الأمامي، بينما رموز المُدمجين هي مدخل جانبي يتجاوز المصادقة البشرية بالكامل. لا كلمة مرور ولا طلب MFA ولا صفحة تسجيل دخول. مجرد رمز صالح يقول “أنا Anodot ولدي الإذن”.

ما يجب على المؤسسات فعله الآن

يكشف اختراق Anodot فجوة حوكمة لم تعالجها معظم فرق الأمن. تركز إدارة الهوية والوصول التقليدية على المستخدمين البشريين: كلمات المرور وMFA وSSO. لكن سطح الهجوم الأسرع نمواً هو الآلة-إلى-آلة: حسابات الخدمة ومنح OAuth ورموز API التي تربط منصات SaaS ببعضها.

يجب أن تتخذ فرق الأمن إجراءات فورية على ثلاث جبهات. أولاً، دقّقوا كل تكامل خارجي يملك وصولاً إلى مخازن البيانات الإنتاجية، وأجروا جرداً للرموز التي يحتفظ بها كل تكامل. ثانياً، فرضوا سياسات تدوير وانتهاء صلاحية الرموز بحيث يكون للرموز المسروقة نطاق ضرر محدود. ثالثاً، راقبوا أنماط الوصول الشاذة من حسابات الخدمة، بنفس الطريقة التي تراقبون بها تسجيلات الدخول البشرية. ارتفاع مفاجئ في تصدير البيانات من موصل تحليلات في الساعة الثانية صباحاً يجب أن يُفعّل نفس التنبيهات كتسجيل دخول بشري مشبوه.

انتهى عصر “الوثوق بالمورد”. كل موصل SaaS هو باب خلفي محتمل، والدفاع الوحيد هو معاملة وصول المُدمجين بنفس الدقة التي تطبقونها على موظفيكم.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

كيف اخترق ShinyHunters عشرات الشركات عبر منصة تحليلات واحدة؟

اخترق ShinyHunters منصة Anodot للتحليلات السحابية التي كانت تحتفظ برموز مصادقة تمنحها وصولاً لمستودعات بيانات Snowflake الخاصة بعملائها. بدلاً من مهاجمة كل شركة منفردة، سرق المخترقون هذه الرموز المُصرّح بها مسبقاً واستخدموها للوصول مباشرة إلى بيئات العملاء، متجاوزين كلمات المرور وMFA بالكامل. هذا المتجه الهجومي “واحد إلى عديد” هو سمة مميزة لاختراقات سلسلة التوريد SaaS.

لماذا لم تمنع MFA الإلزامية لـ Snowflake هذا الاختراق؟

فرض Snowflake MFA على جميع المستخدمين البشريين بحلول نوفمبر 2025، مما عالج فعلياً متجه اختراق 2024 المبني على سرقة كلمات المرور. لكن هجوم 2026 استغل رموز مصادقة آلة-إلى-آلة يستخدمها المُدمجون مثل Anodot للاتصال بـ Snowflake برمجياً. تعمل رموز الخدمة هذه خارج تدفقات تسجيل الدخول البشرية ولا تحميها MFA، مما يجعلها سطح هجوم منفصلاً تماماً.

ماذا يجب على المؤسسات فعله للحماية من سرقة رموز مُدمجي SaaS؟

يجب على المؤسسات تدقيق جميع التكاملات الخارجية التي تملك وصولاً لبيانات الإنتاج، وفرض سياسات صارمة لانتهاء صلاحية وتدوير الرموز (90 يوماً كحد أقصى)، وتطبيق صلاحيات الحد الأدنى بحيث يصل كل تكامل فقط للبيانات التي يحتاجها، ونشر مراقبة للسلوك الشاذ لحسابات الخدمة. وجد تقرير Vorlon 2026 لمسؤولي الأمن أن 27.4% من المؤسسات اختُرقت عبر رموز OAuth أو مفاتيح API مخترقة في 2025، مما يشير إلى أن معظم ممارسات الحوكمة الحالية غير كافية.