حين أصدر باحثو الأمن تحذيرات الشهر الماضي بشأن ثغرات منصة Salesloft Drift، وجدت شركتا Okta وZscaler نفسيهما في مواجهة التهديد ذاته. لكن النتيجة كانت مختلفة تماماً. فبينما نجحت Okta في إحباط الهجوم بفضل ضوابطها الأمنية، تعرضت Zscaler لاختراق أدى إلى وصول غير مصرح به إلى بيانات عملائها وبيانات داخلية للشركة.
يعد الهجوم الذي استهدف أكثر من 700 عميل لخدمة Drift، من بينهم عشرات الشركات الأمنية، من أبرز حوادث سلسلة التوريد هذا العام. وجاء التحذير بعد اكتشاف سرقة بيانات عملاء Salesforce، ليتضح أن الخطر يمتد إلى نطاق أوسع يشمل أنظمة الربط عبر واجهات البرمجة API.
تتيح القصتان المختلفتان لـOkta وZscaler نظرة إلى فاعلية الاستراتيجيات الأمنية في الميدان.
من التحذير إلى الاختراق
لم تنشر Salesloft بعد تقريراً شاملاً حول أسباب الحادث، لكن نتائج أولية كشفت أن مجموعة تهديد تمكنت من اختراق حساب GitHub التابع للشركة منذ مارس الماضي. نفذت المجموعة، التي تتبعها جوجل تحت اسم UNC6395، حركة أفقية داخل بيئة Salesloft وأعدت إجراءات آلية قبل أن تصل إلى بيئة Amazon Web Services الخاصة بـDrift وتستحوذ على رموز OAuth التي يستخدمها عملاء الخدمة.
سمحت هذه الرموز للمجموعة بالوصول إلى بيانات منصات متصلة بـDrift، وهي أداة ذكاء اصطناعي تستخدمها فرق المبيعات للتفاعل مع العملاء. وأشارت جوجل استمرار حملة السرقة الواسعة 10 أيام في منتصف أغسطس، وتأثيرها على قرابة 40 شركة، بينها أكثر من 20 شركة أمن سيبراني.
بعد أسبوع من انتهاء السرقة، تلقت Zscaler تنبيهاً من Salesforce يفيد بأن عناوين IP غير معروفة كانت تستخدم واجهة البرمجة الخاصة برمز OAuth التابع لها. وسارعت الشركة إلى تعطيل الرمز، كما قال مدير أمن المعلومات سام كوري، “لكن الضرر كان قد وقع بالفعل”. فقد تم تسريب بيانات تتضمن أسماء وعناوين بريد إلكتروني ومناصب وأرقام هواتف ومعلومات تراخيص ومنشورات دعم لبعض العملاء.
كيف نجت Okta من الهجوم
على الجانب الآخر، بادرت Okta فور صدور التحذيرات بالبحث عن أي مؤشرات على اختراق محتمل. وبحسب ديفيد برادبري، مدير أمن المعلومات في الشركة، فقد رصدت الشركة “محاولات قصيرة” لاستخدام رموز Drift من مواقع خارج نطاق عناوين IP التي تحددها الشركة يدوياً كإجراء أمني، وكان ذلك كافياً لوقف الهجوم وحماية تكامل الخدمة.
وأوضح برادبري أن كثيراً من الشركات لا تتبنى مثل هذا الإجراء لأن تقييد عناوين IP في استدعاءات API عملية يدوية معقدة تتطلب تعاوناً عبر سلسلة التوريد. لكنه دعا إلى تطوير أدوات تجعل تطبيق هذه القيود مسألة ضغطات معدودة بدل أسابيع من الاختبار والتحقق.
وأضاف أن التحقيق أظهر أن الهجوم كان مؤتمتاً إلى حد كبير، قائلاً: “يبدو أنه سكربت واحد مصمم لضرب جميع الأهداف دفعة واحدة وسحب البيانات بسرعة”.
الرموز المسروقة… الحلقة الأضعف
ما يزيد تعقيد المشهد أن Zscaler كانت قد قررت التوقف عن استخدام Drift منذ يوليو، قبل انكشاف الحملة، لكن الرمز ظل فععالاً حتى نهاية أغسطس. وقال كوري إن الشركة أجلت تعطيله لضمان فصل الخدمة تدريجياً دون انقطاع. إلا أن هذا التأخير كان كافياً ليستغله المهاجمون.
حتى الآن، لا تملك Salesloft تفسيراً واضحاً لكيفية تسرب رموز OAuth، ولا للطريقة التي استخدمها المهاجمون بها للوصول إلى بيئات العملاء. وأكد كوري: “لا نعرف كيف حصلوا على الرموز، لكننا نعلم أنهم فعلوا”.
وصف برادبري من Okta المشكلة بأنها “نتاج هشاشة الإنترنت”، مشيراً إلى أن هذه الرموز التي تتكون من أحرف وأرقام بسيطة تعد مفاتيح الوصول إلى معظم تطبيقات العالم الرقمي، وأن آليات التخزين الحالية لا تضمن ربطها بشكل محكم بهوية محددة تمنع إعادة استخدامها.
دروس لمرحلة ما بعد الهجوم
رغم اختلاف التجربتين، اتفق قادة الأمن في الشركتين على أن واجهات البرمجة باتت تمثل “طرقاً جديدة للهجوم” تحتاج إلى رقابة جماعية أوسع. وأوضح كوري أن توسع استخدام API يجعلها مساحة مفتوحة أمام المهاجمين، داعياً إلى مراقبة سلوكها ووضع ضوابط استباقية للتغيرات غير الطبيعية.
تعلمت Zscaler الدرس الصعب حول أهمية تقييد نطاقات عناوين IP وتحديث الرموز باستمرار. أما Okta، فترى أن الحل يكمن في تبنّي آليات أكثر تطوراً مثل Demonstrating Proof of Possession (DPoP)، التي تربط استخدام الرمز بجهاز أو عميل محدد وتمنع إساءة استخدامه.
دعا برادبري شركات البرمجيات السحابية إلى منح ميزات الأمان أولوية توازي ميزات النمو التجاري، قائلاً: “حان الوقت لمطالبة مزودينا بتحمل مسؤولياتهم الأمنية”. بينما اختتم كوري بتوجه تصالحي: “علينا أن نتعلم من بعضنا البعض بدل تبادل اللوم. الهدف هو أمن أفضل للجميع”.
