الإجاباتمنشور36 المصادر
هجوم Klue: ثغرة OAuth تكشف بيانات Salesforce في هجوم متسلسل
في 11 يونيو 2026، استغل المهاجمون بيانات اعتماد OAuth قديمة لمنصة Klue غير موثقة للوصول إلى البنية التحتية للتكامل. قاموا بدفع تحديثات برمجية خبيثة لسرقة رموز OAuth الخاصة بالعملاء، مما أتاح لهم الوصول المباشر إلى بيئات Salesforce عبر واجهة REST API.
98K0
موجّه الذكاء الاصطناعي
openai.comCreate a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What happened in the June 2026 supply chain attack on Klue, including how attackers used a stolen. Article summary: Here is a comprehensive, source-cited account of the June 2026 Klue supply chain attack.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual eviden
في 11 يونيو 2026، تمكن مهاجمون من اختراق منصة Klue، وهي منصة استخبارات سوقية مقرها فانكوفر تُستخدم لمزامنة "بطاقات المعركة" التنافسية مع أنظمة Salesforce CRM لمئات الشركات . كانت نقطة الدخول عبارة عن بيانات اعتماد OAuth مهملة من نموذج أولي للتكامل أنشأته Klue، ولم يتم نشره مطلقًا، كما لم يتم إلغاء تنشيطه
. استمرت بيانات الاعتماد القديمة في العمل، مما سمح للمهاجم بالمصادقة على البنية التحتية للتكامل
.
بمجرد الدخول، دفع المهاجمون تحديثات برمجية خبيثة تعمل على جمع رموز OAuth لمنصة Salesforce وعمليات تكامل تابعة لجهات خارجية من بيئات عملاء Klue . وبحلول الوقت الذي أخطرت فيه Klue عملاءها في 13 يونيو، كان المهاجم قد قام بالفعل باستخراج الرموز المميزة لمئات من منظمات Salesforce المتصلة
.
استخدم المهاجمون الرموز المميزة المسروقة لانتحال شخصية تطبيق Klue والاستعلام عن بيئات CRM المتصلة عبر واجهة Salesforce REST API، حيث أطلقوا ما يقرب من 1000 استعلام API كل 15 دقيقة، في فترات استمرت لحوالي 24 ساعة . وشملت البيانات المسروقة جهات الاتصال التجارية، وعملاء المبيعات المحتملين، وسجلات دعم العملاء، والأسماء وعناوين البريد الإلكتروني وأرقام الهواتف ومعلومات الأسعار
.
هذا هو ثالث اختراق لسلسلة توريد OAuth في Salesforce في عشرة أشهر، بعد هجمات سابقة على Drift (Salesloft) و Gainsight .
📋 الجهات المتضررة
قام المهاجمون باستخدام الرموز المميزة المسروقة للوصول إلى بيانات Salesforce التي تعود لمئات من عملاء Klue . فيما يلي قائمة بالجهات التي تم تأكيد تضررها:
| المنظمة | الحالة | المصدر |
|---|---|---|
| Huntress | تم التأكيد في منشور مدونة من Huntress | |
| Recorded Future | تم التأكيد من قبل الشركتين | |
| Tanium | تم الإفصاح عبر مجلة Infosecurity | |
| Jamf | تم الإفصاح عبر مجلة Infosecurity | |
| HackerOne | تم ذكرها بواسطة TechCrunch و LinkedIn | |
| Kudelski Security | تم ذكرها في تقارير الاختراق | |
| Snyk | تم ذكرها في تقارير الاختراق | |
| Insurity | تم ذكرها في تقارير الاختراق | |
| Sprout Social | تم ذكرها في تقارير الاختراق | |
| LastPass | تم تأكيدها عبر TNW؛ تم سرقة بيانات العملاء الشخصية وقضايا الدعم |
نشرت Huntress منشورًا مفصلاً وصفت فيه الحادث بأنه "تأثير دومينو أمني"، مشيرةً إلى أن Icarus قامت لاحقًا بنشر بيانات Huntress على موقعها للتسريب .
🔑 كيفية تطور الهجوم
كانت سلسلة الهجوم مباشرة واستغلت نقطة عمياء شائعة في أمان SaaS: بيانات الاعتماد المنسية. قامت Klue بإنشاء بيانات اعتماد OAuth لنموذج أولي للتكامل لم يتم نشره مطلقًا ولم يتم إزالته من الأنظمة النشطة . في 11 يونيو، عثرت مجموعة Icarus على بيانات الاعتماد هذه، وتمت المصادقة على الواجهة الخلفية لـ Klue، ودفعت تعليمات برمجية ضارة إلى طبقة التكامل. تلك التعليمات البرمجية جمعت كل رمز OAuth الذي تحتفظ به Klue لتكاملات العملاء—Salesforce و HubSpot و Gong و SharePoint و Zoom والمزيد
. باستخدام هذه الرموز، استفسر المهاجمون مباشرة من بيئات Salesforce دون الحاجة إلى أي بيانات اعتماد أخرى.
📊 استخراج البيانات بالتفصيل
لم يقم المهاجمون باستخراج البيانات بهدوء. لاحظت شركة الأمن ReliaQuest النشاط وأفادت بأن المهاجم أطلق ما يقرب من 1000 استعلام API في دفعة واحدة مدتها 15 دقيقة وحافظ على فترات استخراج مستدامة تجاوزت الـ 6 ساعات . استمرت عملية الاستخراج الكلية حوالي 24 ساعة
. استخدم المهاجمون نقاط نهاية محددة في Salesforce REST API مثل
/services/data/v59.0/query/* باستخدام نصوص بايثون آلية لاستخراج السجلات بكميات كبيرة . كانت البيانات المسروقة محدودة بمعلومات CRM والمبيعات، وليس الأنظمة الداخلية أو بيانات اعتماد المؤسسات المتضررة
.
⚡ كيفية استجابة Klue و Salesforce
- Klue: اكتشفت النشاط غير المصرح به في 12 يونيو وبدأت بإخطار العملاء في 13 يونيو. قامت الشركة بقطع عمليات التكامل وعملت مع العملاء المتضررين لتدوير الرموز المميزة
. أكدت Klue أن المهاجمين استخدموا بيانات اعتماد قديمة تم اختراقها للحصول على رموز OAuth والوصول إلى بيئات Salesforce
.
- Salesforce: قامت بتعطيل تطبيق Klue Battlecards عبر جميع مثيلات العملاء المتضررة في تمام الساعة 7:22 مساءً بتوقيت بريطانيا الصيفي (BST) يوم 17 يونيو 2026، دون إشعار مسبق للعملاء
. حثت Salesforce لاحقًا جميع عملاء Klue المتصلين على تدوير رموز OAuth ومراجعة سجلات تدقيق API لاستعلامات غير مصرح بها
.
🕵️💻 مجموعة الابتزاز Icarus والاسم المستعار "mr bean"
مجموعة إجرامية جديدة تم تتبعها باسم Icarus (نشطة منذ حوالي أبريل 2026) تبنت المسؤولية . اتصلت المجموعة بالضحايا عبر البريد الإلكتروني باستخدام الاسم المستعار "mr bean" (بأحرف صغيرة)، للمطالبة بالدفع مقابل عدم نشر بيانات Salesforce المسروقة
. في 22 يونيو، بدأت Icarus بنشر البيانات المسروقة من Huntress وضحايا آخرين على موقعها الإلكتروني المخصص لتسريب البيانات
.
تعتبر هذه المجموعة أول من استخدم هذا المسار المحدد (Klue-OAuth-to-Salesforce) في هجومها، مما يمثل تحولاً عن الهجمات السابقة التي قادتها مجموعة ShinyHunters على عمليات تكامل مماثلة تابعة لجهات خارجية . أكدت Huntress أن البيانات التي نشرتها Icarus تتوافق مع نطاق المعلومات الذي تم الإبلاغ عنه سابقًا
.
🔍 سبب أهمية هذا الأمر
هذا الاختراق ليس حادثًا منعزلاً. إنه ثالث اختراق كبير في سلسلة توريد Salesforce OAuth في أقل من عام، بعد هجمات على Drift (Salesloft) و Gainsight . النمط ثابت: يستهدف المهاجمون مركز التكامل، ويسرقون رموز OAuth، ويستخدمونها للوصول إلى بيئات CRM دون إطلاق إنذارات لأن الاستعلامات تأتي من تطبيق تابع لجهة خارجية وموثوق. يسلط اختراق Klue الضوء أيضًا على خطر بيانات الاعتماد المهملة في بيئات SaaS—أصبحت بيانات الاعتماد التي تم إنشاؤها لنموذج أولي ولم يتم إلغاء تنشيطها نقطة الفشل الفردية لمئات من منظمات Salesforce المؤسسية
.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
يسأل الناس أيضا
ما هي الإجابة المختصرة على "هجوم Klue: ثغرة OAuth تكشف بيانات Salesforce في هجوم متسلسل"؟
في 11 يونيو 2026، استغل المهاجمون بيانات اعتماد OAuth قديمة لمنصة Klue غير موثقة للوصول إلى البنية التحتية للتكامل.
ما هي النقاط الأساسية التي يجب التحقق منها أولاً؟
في 11 يونيو 2026، استغل المهاجمون بيانات اعتماد OAuth قديمة لمنصة Klue غير موثقة للوصول إلى البنية التحتية للتكامل. قاموا بدفع تحديثات برمجية خبيثة لسرقة رموز OAuth الخاصة بالعملاء، مما أتاح لهم الوصول المباشر إلى بيئات Salesforce عبر واجهة REST API.
ماذا يجب أن أفعل بعد ذلك في الممارسة العملية؟
تم استخراج بيانات الاتصالات التجارية والعملاء المحتملين وتاريخ حالات الدعم وأسعار المنتجات من مئات المؤسسات المتضررة.
المصادر
- huntress.comCybercrime Breaches Klue: Salesforce Data Impacted for ... - Huntress
- techcrunch.comKlue hack results in data breach at several cybersecurity firms
- mallory.aiKlue OAuth Breach Enabled Icarus Theft of Salesforce CRM Data
- innovatecybersecurity.comKlue OAuth Breach Fuels Icarus Salesforce Data Theft ...
- logicity.inKlue OAuth breach spreads: 7 firms confirm Salesforce data theft
- radar.offseq.comCybersecurity Firms Impacted by Klue Supply Chain Attack
- theregister.comSecurity shops among the 'hundreds' of Klue hack victims
- securityweek.comCybersecurity Firms Impacted by Klue Supply Chain Attack
- cloudskope.comDrift. Gainsight. Now Klue. And This Time, It Wasn't ShinyHunters. | Cloudskope
- socdefenders.aiCybersecurity Firms Impacted by Klue Supply Chain Attack
- thenextweb.comLastPass says hackers stole customer data through a supply chain ...
- infosecurity-magazine.comKlue Breach Enables Hackers to Compromise ...
- linkedin.comKlue hack results in data breach at several cybersecurity firms
- dugganusa.comThe Third Salesforce OAuth Breach in Twelve Months
- aboutdfir.comInfoSec News Nuggets – 06/19/2026
- securitybrief.co.nzKlue breach lets attackers steal Salesforce CRM data
- radar.offseq.comKlue Integration Abused in Salesforce Data Theft | Threat Spotlight - Live Threat Intelligence - Threat Radar | OffSeq.com
- ctipilot.chCTI Daily Brief — 2026-06-19
- securityweek.comMore Cybersecurity Firms Disclose Impact From Klue Hack
- thehackernews.comSalesforce Disables Klue App Integration After OAuth ...
- linkedin.comKlue Breach Exposes Cybersecurity Firms to Supply Chain Risk - LinkedIn
- salesforcedictionary.comKlue OAuth Hack Hits Salesforce CRM | | SF Dictionary
- securitylabs.datadoghq.comDetecting the Klue supply chain attack in Salesforce instances
- rhisac.orgIcarus Threat Group Claims Salesforce Data Theft in Klue ...
- thecybersecguru.comKlue Salesforce Breach Explained: Icarus OAuth Attack
- linkedin.comAkili A.'s Post
- obsidiansecurity.comInside the Klue SaaS Supply Chain Attack on Salesforce
- rescana.comKlue OAuth Integration Breach Exposes Salesforce Customer Data in Icarus Supply Chain Attack
- cvedaily.ioKlue Salesforce data breach: OAuth Token Abuse Leads to Exfiltration
- linkedin.comAngelo Caproitti's Post
- x.comSalesforce has disabled Klue Battlecards integration after attackers ...
- helpnetsecurity.comKlue breach lead to Salesforce data theft, Huntress affected
- probablypwned.comKlue OAuth Breach Exposes Salesforce CRM Data at Multiple Enterprises
- bleepingcomputer.comKlue OAuth breach linked to 'Icarus' Salesforce data theft attacks
- cybersecurityjournal.caKlue OAuth Breach: Icarus Extortion Group Steals Salesforce CRM Data From Multiple Organizations — What Canadian Enterprises Must Do Now
- aviatrix.aiSalesforce Data Breach via Klue App Compromise
Loading comments...
Comments
0 comments