⚡ أبرز النقاط

ادّعت ShinyHunters في 12 أبريل 2026 سرقة أكثر من 30 مليون سجل Salesforce من شركة العقارات الأمريكية Marcus & Millichap، بموعد نهائي للابتزاز في 14 أبريل. يتبع الهجوم نمطاً: 300-400 مؤسسة مخترَقة بين صيف 2025 ومارس 2026 عبر سوء تهيئة المستخدم الزائر في Salesforce (AuraInspector) وvishing تدفق جهاز OAuth وإساءة استخدام رموز التطبيقات المتصلة. 84.8٪ من رؤساء أمن المعلومات في CISO Report 2026 يرون أن أدواتهم غير كافية للكشف عن إساءة استخدام رموز OAuth.

خلاصة: على المؤسسات التي تشغّل Salesforce تعطيل صلاحيات Guest User «API Enabled» هذا الأسبوع، وتدقيق التطبيقات المتصلة، وفرض MFA بـFIDO2 للمسؤولين، وإضافة SaaS Security Posture Management إلى ميزانية الأمن لعام 2026.

اقرأ التحليل الكامل ↓

إعلان

🧭 رادار القرار

الأهمية بالنسبة للجزائر
متوسط
اعتماد Salesforce في الجزائر مركّز في البنوك والاتصالات والشركات متعددة الجنسيات في النفط والغاز والمكاتب الإقليمية للشركات الدولية. الشركات الصغيرة والمتوسطة المحلية تستخدم Salesforce أقل، لكن دروس OAuth/SSPM تنطبق على HubSpot وZoho وOdoo وأي SaaS متعدد المستأجرين.
البنية التحتية جاهزة؟
جزئي
معظم مستأجري Salesforce الجزائريين لديهم SSO أساسي لكن يفتقرون إلى SSPM ومفاتيح FIDO2 للمسؤولين ودمج Event Monitoring. مواقع Experience Cloud نادرة لكن إساءة OAuth تنطبق على أي SaaS.
المهارات متوفرة؟
محدود
أمن SaaS تخصص جديد عالمياً. ما زالت فرق الأمن الجزائرية تتوجه حول المحيط والنقطة النهائية؛ مهندسو أمن SaaS المخصصون نادرون.
الجدول الزمني للعمل
فوري
يمكن تدقيق سوء تهيئة المستخدم الزائر وتطبيقات OAuth الخاملة هذا الأسبوع. نشر SSPM وFIDO2 يتلاءم مع خارطة طريق 6 أشهر.
أصحاب المصلحة الرئيسيون
رؤساء أمن المعلومات، مسؤولو SaaS،
نوع القرار
تكتيكي
تدابير تحصين SaaS محددة مدفوعة بحملة فاعل تهديد نشطة وموثقة جيداً.

خلاصة سريعة: على المؤسسات الجزائرية التي تشغّل Salesforce أو HubSpot أو غيرها من SaaS الرئيسية تدقيق موافقات OAuth للتطبيقات المتصلة وصلاحيات المستخدم الزائر هذا الأسبوع، وفرض FIDO2 لمسؤولي SaaS في الربع المقبل، وإضافة SaaS Security Posture Management إلى ميزانية الأمن لعام 2026. على مالكي CRM في البنوك والاتصالات معاملة ذلك على أنه فوري.

ما حدث لـMarcus & Millichap

أُدرجت Marcus & Millichap, Inc. (NYSE: MMI)، أحد أكبر وسطاء العقارات التجارية في الولايات المتحدة، على موقع تسريبات ShinyHunters في 12 أبريل 2026. ادّعت المجموعة الوصول إلى أكثر من 30 مليون سجل Salesforce تحتوي على معلومات تعريفية شخصية وبيانات مؤسسية داخلية، وحدّدت موعداً نهائياً للفدية في 14 أبريل 2026 قبل نشر البيانات أو بيعها.

اتبع الهجوم الطريقة المعيارية الآن لـShinyHunters: استغلال بيئة Salesforce سيئة التهيئة أو تدفق OAuth، وسحب بيانات CRM باستخدام أداة Data Loader الخاصة بـSalesforce نفسها، وابتزاز الضحية تحت تهديد النشر. لم تكن ثغرة منتج Salesforce مطلوبة — استغل المهاجمون كيفية تهيئة مستأجر Salesforce الخاص بـMarcus & Millichap.

حادث Marcus & Millichap يقع داخل حملة أكبر بكثير. بحلول مارس 2026، كانت ShinyHunters قد ادّعت اختراق McGraw-Hill (45 مليون سجل عبر سوء تهيئة Salesforce) وRockstar Games ومزعوماً Cisco CRM. بحلول الشهر ذاته، ادّعت المجموعة اختراق 300 إلى 400 مؤسسة عبر Salesforce، حوالي 100 منها ذات ملف شخصي عال.

كيف تخترق ShinyHunters Salesforce فعلياً

مستمد من تحليلات Help Net Security وMitiga وVaronis وSafestate وSecurity Boulevard، تدير ShinyHunters ثلاثة أنماط هجوم رئيسية على مستأجري Salesforce:

1. سوء تهيئة المستخدم الزائر في Experience Cloud (Aura)

مواقع Salesforce Experience Cloud (المعروفة سابقاً باسم Community Cloud) المبنية على إطار عمل Aura تسمح بملف تعريف «Guest User» بصلاحيات افتراضية. ملفات الزائر سيئة التهيئة — وتحديداً عند ترك صلاحية API Enabled مفعّلة — تتيح لأي زائر غير مصادَق الاستعلام عن كائنات Salesforce عبر مكالمات API مجهولة.

بنت ShinyHunters واستخدمت أداة مفتوحة المصدر تسمى AuraInspector لأتمتة هذا الاكتشاف عبر آلاف مواقع Experience Cloud. بمجرد العثور على موقع بصلاحيات زائر مفرطة السماح، تعدّ الأداة الكائنات الممكن الوصول إليها وتسحب السجلات.

2. إساءة استخدام تدفق جهاز OAuth عبر Vishing

للمستأجرين الذين لا يكشفون ملفات زائر، تتحول المجموعة إلى الهندسة الاجتماعية. تدفق جهاز OAuth مصمم للأجهزة التي ليس بها متصفح (أجهزة التلفاز الذكية، أدوات CLI) — تزور الضحية عنوان URL للتحقق، وتُدخل رمزاً قصيراً، وتُصادق على التطبيق.

تسيء ShinyHunters استخدامه عبر:

  • تشغيل Salesforce Data Loader محلياً، مُهيّأ لبدء تدفق جهاز OAuth.
  • توليد رمز تحقق من 8 أحرف.
  • إجراء مكالمة vishing لمسؤول Salesforce ناطق بالإنجليزية، منتحلاً دعم IT أو مورّداً.
  • توجيه الضحية إلى عنوان التحقق في Salesforce وإملاء الرمز.
  • عند موافقة الضحية، يُصدر Salesforce رمز وصول إلى مثيل Data Loader للمهاجم.
  • تسريب صامت متمهل لبيانات CRM في أجزاء صغيرة لتجنب إثارة كشف الشذوذ.

3. إساءة استخدام التطبيقات المتصلة عبر OAuth (Salesloft / UNC6040)

اخترقت ShinyHunters والمجموعة المجاورة UNC6040 (وفقاً لـMitiga) تطبيقات طرف ثالث متصلة بـSalesforce عبر OAuth — تحديداً Salesloft — واستخدمت تلك الرموز الدائمة للاستعلام عن مستأجري Salesforce في المصب.

إعلان

لماذا يتأخر الكشف

صلاحية API Enabled في Salesforce مرئية في كل وحدة تحكم إدارية للمستأجر. تظهر تطبيقات OAuth المتصلة في كل قائمة تدقيق Connected App. ومع ذلك، يصل اختراق تلو الآخر إلى موقع تسريبات ShinyHunters لأن:

  • إساءة استخدام رموز OAuth غير مرئية لأنظمة SIEM القديمة. وجد CISO Report 2026 أن 84.8٪ من رؤساء أمن المعلومات يرون أن أدواتهم الأمنية غير كافية للكشف عن إساءة رموز OAuth أو مفاتيح API.
  • أدوات أمن SaaS مجزأة. CASB وSSPM والسجلات الأصلية لـSaaS نادراً ما تترابط في جدول زمني واحد.
  • الهندسة الاجتماعية تهزم الضوابط. تُقنع مكالمة vishing مسؤولاً شرعياً بالإذن للمهاجم. كل ضابط IAM لاحق يتصرف عندئذٍ «بشكل صحيح».
  • Data Loader أداة شرعية. التسريب يبدو وكأنه مهمة تكامل طبيعية.

خطة تحصين SaaS

مُجمَّعة من Varonis وHelp Net Security وApex Hours وإرشادات Salesforce نفسها، مرتبة حسب الإجراء الفوري:

فوري (هذا الأسبوع)

  1. عطّل «API Enabled» في ملف Guest User على كل موقع Experience Cloud. Setup → Guest User Profile → System Permissions → ألغِ التحديد. هذا هو الضابط الأكثر تأثيراً ضد هجمات من نمط AuraInspector.
  2. دقّق جميع Connected Apps ذات الوصول OAuth. Setup → Apps → Connected Apps OAuth Usage. ألغِ أي تطبيقات غير معروفة أو خاملة. أعِد التفويض لتلك التي تحتاجها فعلياً فقط.
  3. افرض Salesforce API Access Control. قيّد أي مستخدمين وأي نطاقات IP يمكنها استدعاء API في Salesforce. يجب أن يكون الوصول الإداري للإنتاج مسموحاً به فقط من نطاقات الشركة وVPN.

30 يوماً

  1. دوّر وقلّل مدة حياة رموز OAuth. قلّل TTL الخاص برمز التحديث إلى الحد الأدنى الذي تتحمله تكاملاتك. افرض إعادة المصادقة على الجلسات المشبوهة.
  2. افرض MFA مقاومة للتصيد لجميع مسؤولي Salesforce. مفاتيح FIDO2 المادية، وليس SMS. تعتمد هجمات vishing على إيصال هدف إلى رمز عبر الكلام؛ يتطلب FIDO2 أن يمتلك المهاجم المفتاح المادي.
  3. انشر SaaS Security Posture Management (SSPM). أدوات مثل AppOmni وObsidian وGrip وWing Security تدقّق تهيئة Salesforce باستمرار وتُعلم بالانحراف.
  4. دمج Salesforce Event Monitoring في SIEM الخاص بك. راقب عمليات تشغيل Data Loader غير المعتادة، وسحب API المجمّع، ونشاط API خارج ساعات العمل.

استراتيجي (90 يوماً+)

  1. بناء دليل استجابة لحوادث SaaS. تختلف استجابة حوادث SaaS عن IR المحلية: لا توجد نقطة نهاية لعزلها، والسجلات بحوزة المورّد، ولا يمكن للضحية «فصل كابل الشبكة». تدرّب على إلغاء الرموز وقتل الجلسات بالجملة ومسارات التصعيد مع المورّد.
  2. تدرّب ضد vishing. تمارين red team تحاكي مكالمة vishing لمسؤول Salesforce، مع المسؤول كهدف blue team. قِس من يوافق على طلب OAuth الزائف.
  3. دمج هوية SaaS تحت SSO مع وصول مشروط صارم. Salesforce وHubSpot وWorkday وServiceNow — كل SaaS خلف نفس مزوّد الهوية مع قواعد وضع الجهاز والموقع الجغرافي ومصادقة التصعيد.

ما يعنيه ذلك عالمياً

حملة Salesforce الخاصة بـShinyHunters هي الحادث السيبراني الأكثر فائدة في 2025-2026 لأنها تهاجم الواقع التشغيلي للمؤسسات الحديثة: CRM هو مصدر الحقيقة لبيانات العملاء، ولا يزال أمن SaaS يُعامل كمشكلة المورّد. ليس كذلك. التهيئة والهوية وحوكمة OAuth هي مسؤولية العميل.

كل مؤسسة تشغّل Salesforce — وبالتالي كل مستأجر SaaS كبير — لها سطح تعرّض متماثل. قضية Marcus & Millichap لن تكون الأخيرة. المؤسسات التي تستثمر الآن في SSPM وFIDO2 وتدريبات استجابة حوادث SaaS ستكون في القائمة المختصرة لتلك التي ستتجنّب موقع التسريبات في 2027.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn
تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

إعلان

الأسئلة الشائعة

هل استغلت ShinyHunters ثغرة منتج في Salesforce؟

لا. تعود كل حادثة علنية إلى تهيئة من جانب العميل (صلاحيات Guest User)، أو الهندسة الاجتماعية (vishing لتدفق جهاز OAuth)، أو اختراق تطبيق طرف ثالث متصل (سلسلة توريد بنمط Salesloft). صحّحت Salesforce مشاكل مرتبطة بـAura لكن النمط القابل للاستغلال هو الإعدادات الافتراضية المفرطة السماح التي يحتفظ بها العملاء. هذا فشل في نموذج المسؤولية المشتركة.

كيف ينبغي للمؤسسات اكتشاف اختراق نشط بنمط ShinyHunters؟

راقب Salesforce Event Monitoring من أجل: قراءات API مجمّعة غير عادية، جلسات Data Loader من عناوين IP غير متوقعة، تفويضات تطبيقات OAuth الجديدة، ونشاط إداري خارج ساعات العمل. ادمج هذه مع SIEM مع خطط تلغي الرموز تلقائياً وتقفل الجلسات. بدون Event Monitoring، الكشف شبه مستحيل.

هل يمنع دفع الفدية تسريب البيانات؟

تشير الأدلة التاريخية عبر ضحايا ShinyHunters إلى أن الدفع لا يمنع بشكل موثوق التسريبات، وقد يموّل حملات إضافية. ينصح FBI ومعظم CERTs الوطنية بعدم الدفع. على المؤسسات التخطيط لسيناريو الإفصاح العلني بغض النظر عن قرار الدفع — إشعار العملاء والإيداعات التنظيمية والاستجابة للسمعة يجب التدرّب عليها.

المصادر والقراءات الإضافية