أعلنت شركتا Huntress وRecorded Future عن وقوعهما ضحية لهجوم استهدف سلسلة الإمداد من خلال منصة معلومات السوق Klue؛ حيث استغل المهاجمون تكاملات المنصة للوصول إلى البيانات المخزنة في بيئة Salesforce، ومن ثم نسخ السجلات المتعلقة بالمبيعات وإدارة علاقات العملاء.
رصدت المؤشرات الأولى للنشاط المشبوه في 11 يونيو، إثر اتصال المهاجمين بخوادم Klue الخلفية وتمرير أوامر غير مصرح بها. وعقب ذلك، دفع المهاجمون بتحديث برمجي خبيث أتاح لهم جمع رموز OAuth الخاصة بتكاملات عملاء Klue مع المنصات والخدمات الأخرى.
أخطرت Klue عملاءها بالواقعة في 12 يونيو، وأقدمت على إبطال رموز OAuth لجميع المستخدمين، مع إيقاف التكاملات الممتدة إلى منصات Salesforce وHubSpot وSharePoint وZoom وGong وChorus وClari وGoogle Drive وSlack. وفي 17 يونيو، اتخذت Salesforce خطوة مماثلة بتعطيل تكامل تطبيق Klue Battlecards، بعد رصد حركة غير طبيعية يعتقد أنها سمحت بالوصول غير المصرح به إلى جزء من بيانات العملاء عبر قنوات الاتصال الرابطة بين التطبيق وSalesforce.
وأوضحت شركة Huntress أن السجلات المسربة من حسابها في Salesforce شملت جهات اتصال تجارية، وعروض أسعار، وبيانات ومراسلات خاصة بالمبيعات. وأكدت أن الحادثة لم تمس بيانات التهديدات، أو كلمات المرور، أو معلومات بطاقات الدفع، أو البيانات الهندسية والقياسات الحيوية التي تجمعها منتجاتها الأمنية. من جهتها، أشارت Recorded Future إلى استمرار التحقيقات الجارية، مرجحة أن الضرر اقتصر على حقول محددة في قاعدة بيانات Salesforce مثل أسماء العملاء وعناوين بريدهم الإلكتروني، إلى جانب بعض تفاصيل العقود التجارية.
وبينت التفاصيل الفنية الصادرة عن شركة ReliaQuest في 17 يونيو، أن المهاجمين اعتمدوا على واجهة Salesforce REST API لاستخراج كميات ضخمة من بيانات إدارة علاقات العملاء على مدار 24 ساعة تقريباً؛ وتضمن ذلك نشاطاً مكثفاً شمل نحو 1,000 استعلام خلال 15 دقيقة، بجانب عمليات سحب ممتدة تجاوزت 6 ساعات في بعض البيئات المستهدفة. ووصف التحليل الفني هذا السلوك بأنه إساءة استخدام لتكاملات موثوقة تعتمد على رموز OAuth، وليس اختراقاً مباشراً للبنية التحتية الخاصة بالشركات المتضررة.
وذكرت Huntress أن المهاجمين استغلوا ثغرة تمثلت في اعتماد قديم نشط، كان قد أنشئ سابقاً لغرض اختبار تكامل مع طرف ثالث وهُجر دون إلغائه. وساهم هذا الأمر في الانتقال إلى بنية Klue وسرقة الرموز التي أتاحت للمهاجمين استجواب أدوات إدارة علاقات العملاء الخاصة بالمستخدمين. كما أظهرت سجلات الشركة أن استعلامات Salesforce ارتبطت بوكلاء مستخدم يعتمدون على المكتبة البرمجية Python-urllib، لافتة إلى أن تكاملها النشط مع Klue كان يشمل بيانات من Salesforce وGong.
ورغم وجود جوانب لم تحسم تفاصيلها علناً بعد، مثل النطاق الإجمالي للبيانات المتأثرة وآلية الدخول الأولية بدقة، إلا أن Huntress أكدت استقبالها رسائل ابتزاز من جهة تطلق على نفسها «Mr Brean». وربطت الشركة مؤشرات الاتصال بمجموعة ابتزاز سيبراني ناشرة تدعى Icarus ظهرت في أبريل 2026. وفي السياق ذاته، أفادت ReliaQuest بأن النمط المتبع يتطابق مع موجة استغلال تكاملات Salesforce التي رصدت خلال عامي 2025 و2026، دون توجيه اتهام رسمي لجهة محددة.
وتعيد هذه الحادثة تسليط الضوء على المخاطر الأمنية المرتبطة بالهويات غير البشرية وتكاملات البرمجيات كخدمة (SaaS)، لا سيما تلك التي تمنح صلاحيات وصول دائمة إلى الأنظمة المركزية مثل Salesforce. ويوصي الخبراء والباحثون المؤسسات التي تعتمد على Klue أو تطبيقات تكامل مشابهة بضرورة مراجعة سجلات واجهات برمجة التطبيقات (API)، وتدوير بيانات الاعتماد ورموز OAuth بما يشمل رموز التحديث، فضلاً عن تقييد صلاحيات وصول تطبيقات الطرف الثالث وحصرها في بيئات موثوقة وضمن قوائم سماح محددة.
