اختراق Klue يتوسع: 7 شركات تؤكد سرقة بياناتها من Salesforce على يد مجموعة Icarus

أبرز النقاط

• مجموعة Icarus استغلت بيانات اعتماد قديمة للوصول إلى رموز OAuth وسرقة بيانات Salesforce من عملاء Klue
• سبع شركات تقنية كبرى أكدت تأثرها بالاختراق، منها Recorded Future وTanium وJamf
• الهجوم لم يمس منصة Klue ذاتها بل استهدف التكاملات مع أطراف ثالثة عبر OAuth

كشفت منصة الاستخبارات التنافسية Klue عن تعرضها لاختراق أمني خطير مكّن مهاجمين من سرقة رموز OAuth المستخدمة للربط مع بيئات Salesforce الخاصة بعملائها. الاختراق الذي أعلنت مجموعة Icarus للابتزاز الإلكتروني مسؤوليتها عنه، يمثل نموذجاً متقدماً لهجمات سلسلة التوريد التي باتت تهدد المؤسسات عبر نقاط الضعف في تكاملاتها مع الأطراف الثالثة.

كيف نفذ المهاجمون الاختراق؟

أكد جيسون سميث، الرئيس التنفيذي لشركة Klue، أن فريقه رصد نشاطاً غير مصرح به في 12 يونيو 2026 أثّر على جزء من البنية التحتية للتكاملات. وأوضح أن المهاجم تمكن من الوصول عبر بيانات اعتماد قديمة مرتبطة بخدمة تكامل، ثم استخدم هذا الوصول للحصول على رموز OAuth التي تربط Klue بمنصات طرف ثالث، وعلى رأسها Salesforce.

التحقيقات التي أجرتها شركتا Huntress وReliaQuest للأمن السيبراني كشفت أن المهاجمين استغلوا تكاملات Klue Battlecards المخترقة لتنفيذ سرقة واسعة النطاق للبيانات. ورصدت ReliaQuest استخدام المهاجمين لسكربتات Python للاستعلام عن واجهة برمجة تطبيقات Salesforce لفترات ممتدة أثناء عملية سحب البيانات.

ما البيانات التي سُرقت وما الشركات المتضررة؟

كشفت Huntress أن بيئة Salesforce الخاصة بها تأثرت بالاختراق، وأن البيانات المسروقة تضمنت جهات اتصال تجارية، ومراسلات المبيعات، ومعلومات التسعير، وسجلات أخرى. وتوالت إعلانات الشركات المتضررة لتشمل سبع مؤسسات كبرى:

• Recorded Future — شركة استخبارات التهديدات
• Tanium — منصة إدارة نقاط النهاية
• Jamf — حلول إدارة أجهزة Apple للمؤسسات
• Sprout Social — منصة إدارة وسائل التواصل الاجتماعي
• Gong — منصة تحليل المبيعات بالذكاء الاصطناعي
• Insurity — مزود حلول التأمين

أكدت جميع هذه الشركات تقريباً أن الحادث اقتصر على سرقة بيانات من بيئات Salesforce الخاصة بها، دون المساس بمنصاتها أو بنيتها التحتية أو معلومات الدفع أو أنظمتها الداخلية.

من هي مجموعة Icarus وماذا تريد؟

أعلنت مجموعة Icarus للابتزاز الإلكتروني مسؤوليتها عن الهجوم عبر موقعها لتسريب البيانات، مؤكدة استهدافها لـ Klue واستخراج بيانات من بيئات Salesforce متعددة تابعة لشركائها. وضغطت المجموعة على Klue والمؤسسات المتضررة للتواصل معها عبر منصة المراسلة Session لمنع تسريب البيانات المسروقة.

الربط بين الهجوم ومجموعة Icarus جاء من خلال تحليل Huntress لمعرّفات Session Messenger المستخدمة في رسائل الابتزاز ومطابقتها مع تلك الموجودة على موقع تسريب البيانات الخاص بالمجموعة.

ما الإجراءات التي اتخذتها Klue؟

استجابت Klue للحادث بسلسلة إجراءات فورية شملت إلغاء بيانات الاعتماد والرموز المتأثرة، وإزالة الكود غير المصرح به، وتعطيل التكاملات المخترقة. كما أطلقت الشركة تحقيقاً موسعاً وأبلغت جهات إنفاذ القانون، واستعانت بشركة CrowdStrike للمساعدة في الاستجابة للحادث.

أكدت Klue عدم وجود دليل على تأثر محتوى العملاء المخزن مباشرة داخل منصتها، وأن الحادث اقتصر على التكاملات مع الأطراف الثالثة.

لماذا يجب أن تقلق المؤسسات الخليجية؟

حذرت عدة مؤسسات متضررة من أن معلومات جهات الاتصال التجارية المسروقة قد تُستخدم في حملات تصيد واحتيال هندسي وابتزاز لاحقة. هذا التحذير يحمل أهمية خاصة للمؤسسات في منطقة الخليج التي تعتمد بكثافة على منصات CRM العالمية وتكاملاتها، خاصة في ظل التحول الرقمي المتسارع ضمن رؤى التحديث الوطنية.

الأسئلة الشائعة

ما هي منصة Klue وما علاقتها بـ Salesforce؟

Klue منصة استخبارات تنافسية تستخدمها فرق المبيعات لتتبع المنافسين وإنشاء بطاقات مرجعية سريعة. تتكامل مع Salesforce عبر رموز OAuth للوصول المستمر لبيانات CRM دون تسجيل دخول متكرر.

هل تأثرت بياناتي إذا كنت عميلاً لـ Klue؟

الاختراق استهدف تكاملات الطرف الثالث وليس منصة Klue ذاتها. إذا كانت مؤسستك تستخدم تكامل Klue مع Salesforce، تواصل مع فريق الدعم للتحقق من تأثرك.

كيف أحمي مؤسستي من هجمات OAuth المماثلة؟

راجع جميع رموز OAuth النشطة بانتظام، واحذف التكاملات غير المستخدمة، وطبق مبدأ الحد الأدنى من الصلاحيات، وفعّل التنبيهات على الأنشطة غير المعتادة في واجهات برمجة التطبيقات.

من هي مجموعة Icarus؟

مجموعة ابتزاز إلكتروني ناشئة تستخدم أسلوب سرقة البيانات والتهديد بنشرها للضغط على الضحايا. تتواصل عبر منصة Session المشفرة.