سوء إعداد Salesforce يصل إلى 13.5 مليون حساب
أكدت McGraw-Hill علناً في 14 أبريل 2026 أنها «رصدت وصولاً غير مُصرَّح به إلى مجموعة محدودة من البيانات من صفحة ويب مُستضافة على منصة Salesforce». لم يأتِ التأكيد إلا بعد تهديد مجموعة الابتزاز ShinyHunters بنشر 45 مليون سجل مسروق ما لم تُدفع فدية. ثم نشرت ShinyHunters فعلاً — وكان الانسكاب قابلاً للقياس بشكل مستقل: Have I Been Pwned يُفيد بإضافة 13.5 مليون حساب إلى فهرسه من أكثر من 100 جيغابايت من الملفات المُسرّبة، وفق تغطية BleepingComputer وThe Register.
الفجوة بين ادعاء ShinyHunters بـ45 مليوناً ورقم 13.5 مليوناً المُتحقَّق منه مستقلاً نمطية في تقارير مجموعات الابتزاز — المهاجمون يُضخّمون الأعداد، والمدافعون يُقلّلون. الحقيقة المهمة ليست أيهما صحيح، بل أن صفحة واحدة مُساء إعدادها مُستضافة على Salesforce غذّت ملايين السجلات في تسريب عام.
ما تحويه البيانات المكشوفة فعلاً
The Record from Recorded Future News يُلخّص ما تقول McGraw-Hill إنه مكشوف: أسماء، عناوين فيزيائية، أرقام هواتف، وعناوين بريد إلكتروني. تحليل TechRepublic يُحدّد ما هو غير مكشوف: أرقام الضمان الاجتماعي، ومعلومات الحسابات المالية، وبيانات الطلاب من المنصات التعليمية. هذه الحدود تهم. تتوقف شدة الاختراق بقوة على ما إذا كانت البيانات المسروقة بيانات شخصية منظَّمة (تستوجب إخطاراً رسمياً وغرامات) أو بيانات تواصل (تُغذّي التصيّد لكنها تُطلق عواقب قانونية أقل).
بالنسبة لأعمال McGraw-Hill، الخطر العملي هو تصيّد متعدد المراحل: يعرف المهاجمون سلفاً أن الضحية تستخدم منتجات McGraw-Hill، ويعرفون بيانات التواصل معه، ويستطيعون صياغة احتيال فواتير أو رسائل تصيّد لإعادة تعيين كلمة المرور أو رسائل انتحال شخصية المورد عالية المصداقية. البيانات «منخفضة الحساسية» تبقى منخفضة الخطر فقط حتى يُقرنها خصم بتسريبات أخرى.
لماذا أصبح نظام Salesforce البيئي أزمة SaaS الجديدة
هذه ليست مشكلة منعزلة بـMcGraw-Hill. The Record يُشير إلى أن سوء إعداد Salesforce «أثّر على منظمات متعددة» في الأسابيع الأخيرة — ShinyHunters تفحص بشكل منهجي صفحات Salesforce المكشوفة عبر قاعدة عملائها. تحليل حادث Rescana يُؤطّر هذا كقضية بنيوية: ينشر عملاء Salesforce بانتظام صفحات Experience Cloud وبوابات مجتمع ونماذج مواجهة للعموم دون إدراك أنهم يكشفون سجلات من قاعدة CRM الأساسية.
وصفة سوء إعداد Salesforce الكلاسيكية، المُتكرّرة عبر اختراقات السنوات الثلاث الماضية:
- ملفات Guest User مُفرطة الصلاحيات تمنح وصولاً غير مُصادَق عليه إلى كثير من الكائنات.
- فئات Apex من نوع «without sharing» مكشوفة على نقاط نهاية عامة.
- صفحات مجتمع عامة تكشف بلا قصد معرّفات السجلات عبر استدعاءات API.
- لا تحديد للمعدل ولا كشف شذوذ على القراءات المُجمَّعة من نقاط النهاية العامة.
عند اجتماع هذه الشروط، يستطيع ماسح عام تعداد أحجام كبيرة من بيانات CRM دون كسر أي نظام مصادقة.
إعلان
دروس الحوكمة للمؤسسات التي تُشغّل Salesforce
تُبرز تغطية Security Magazine أن McGraw-Hill «أمّنت الصفحات المتأثرة فوراً» بعد الاكتشاف. هذه الاستجابة الصحيحة للحادث لكنها إشارة حوكمة خاطئة — وُجد سوء الإعداد أصلاً لأن لا مراجعة أمنية قبل النشر التقطتها. أربعة بنود حوكمة ينبغي لكل مؤسسة Salesforce-مركّزة فرضها الآن:
- مراجعة إلزامية لوضعية أمن Salesforce قبل إطلاق أي صفحة Experience Cloud/مجتمع. استخدم أدوات Salesforce نفسها (Health Check، Security Center) بالإضافة إلى أداة طرف ثالث لإدارة الوضعية (AppOmni، Obsidian، Adaptive Shield).
- تدقيق ربع سنوي لـGuest User. يجب أن يمتلك ملف Guest User أدنى وصول إلى الكائنات. معظم الاختراقات تستغل صلاحيات ما كان ينبغي أن توجد أصلاً.
- أدوات مكافئة لـCSPM في SaaS. مفاهيم Cloud Security Posture Management (خطوط أساس للإعدادات، كشف الانحراف، مسح مستمر) تنطبق الآن على منصات SaaS — لا AWS وAzure فحسب.
- DLP على خروج SaaS. Microsoft Defender for Cloud Apps وNetskope وVaronis قادرة على كشف القراءات الجملية من نقاط نهاية Salesforce والتنبيه قبل اكتمال الإخراج.
كيف تندرج ShinyHunters في مشهد ابتزاز 2026
تطوّرت ShinyHunters من انتهازي credential-stuffing إلى عملية ابتزاز منهجية تتعامل مع سوء إعدادات SaaS بوصفه سطح هجوم مُصنَّعاً. تقرير SC Media يُؤطّر McGraw-Hill كأحد حوادث متسلسلة مرتبطة بـSalesforce ضمن الحملة نفسها. The National CIO Review يُوثّق نمط ShinyHunters الأوسع: اختر منصة SaaS فيها قضايا سوء إعداد منظومية، افحص على نطاق واسع، ابتزّ في الطرف الأعلى.
المُضمّن الاستراتيجي لمديري الأمن واضح: الاختراق الكبير القادم في بيئتك سيأتي على الأرجح لا من ثغرة zero-day متطورة، بل من صفحة SaaS نشرها شخص ما في التسويق أو المنتج الربع الماضي دون إشراك المراجعة الأمنية.
ماذا يعني هذا لإدارة مخاطر المؤسسات
سيُسرّع حادث McGraw-Hill ثلاثة تحولات جارية بالفعل. أولاً، سينتقل SaaS Security Posture Management (SSPM) من «ميزة جميلة» إلى أداة مؤسسية أساسية. ثانياً، ستواجه Salesforce ومنافسوها ضغطاً لشحن إعدادات افتراضية أكثر أماناً — صلاحيات أقل مُمنوحة افتراضياً لملفات Guest، تحذيرات أشد عند نشر الصفحات العامة. ثالثاً، سيُضيف مكتتبو التأمين السيبراني شهادة إعدادات SaaS إلى استبياناتهم، مُحدِثين حوافز مالية للمؤسسات لتوثيق وضعيتها.
لم تخترق ShinyHunters McGraw-Hill. صفحة عامة أدّت العمل بالنيابة عنها. هذه هي مشكلة أمن SaaS لعام 2026 في جملة واحدة.
الأسئلة الشائعة
لماذا كشف سوء إعداد Salesforce هذا العدد الكبير من السجلات؟
تسمح منصة Salesforce للعملاء بنشر صفحات مجتمع وExperience Cloud تسحب بيانات من CRM الأساسي. إذا منحت تلك الصفحات وصولاً مُفرط التوسّع لـGuest User، أو استخدمت فئات Apex من نوع «without sharing»، أو كشفت معرّفات سجلات عبر استدعاءات API عامة، يستطيع مهاجم غير مُصادَق عليه تعداد أحجام كبيرة من البيانات دون كسر أي مصادقة. هذا هو النمط الذي استغلته ShinyHunters في McGraw-Hill وعبر عملاء Salesforce آخرين.
ما البيانات التي فقدتها McGraw-Hill فعلاً؟
بحسب McGraw-Hill وتغطية The Record وTechRepublic، تشمل البيانات المكشوفة أسماء، عناوين فيزيائية، أرقام هواتف، وعناوين بريد إلكتروني. ولا تشمل أرقام الضمان الاجتماعي ولا معلومات الحسابات المالية ولا بيانات الطلاب من المنصات التعليمية لـMcGraw-Hill. بينما تُقيّد هذه الحدود الأثر التنظيمي الرسمي، لا تزال بيانات التواصل المُسرّبة تُغذّي حملات تصيّد مُركّزة جداً لأن المهاجمين يعرفون أن الضحايا عملاء لـMcGraw-Hill.
ما هو SaaS Security Posture Management (SSPM) وهل نحتاجه؟
SSPM فئة من الأدوات (AppOmni، Obsidian، Adaptive Shield، Salesforce Security Center) تفحص إعدادات SaaS باستمرار — الصلاحيات، الصفحات العامة، التكاملات، منح OAuth — بحثاً عن انحرافات خطرة عن خط أساس. تُطبّق مفاهيم Cloud Security Posture Management على SaaS. أي مؤسسة تُشغّل Salesforce أو Microsoft 365 أو Google Workspace أو بيئات SaaS كبيرة بميزات مجتمع/عامة ينبغي عليها تقييم SSPM: انحراف الإعدادات هو السبب المُهيمن للاختراقات في SaaS، والتدقيقات اليدوية تُخطئه.
المصادر والقراءات الإضافية
- Educational company McGraw Hill says Salesforce misconfiguration led to data leak — The Record from Recorded Future News
- Data breach at edtech giant McGraw Hill affects 13.5 million accounts — BleepingComputer
- McGraw Hill linked to 13.5M-record data leak — The Register
- McGraw-Hill Confirms Data Exposure, Hackers Claim 45M Salesforce Records Leaked — TechRepublic
- McGraw Hill Data Breach Caused by Salesforce Misconfiguration — Security Magazine
- McGraw-Hill Salesforce Data Breach 2026 — Rescana
- McGraw-Hill downplays Salesforce misconfiguration-related breach — SC Media
- 13.5 Million Accounts Affected in Latest ShinyHunters Campaign — The National CIO Review
