في مساء عيد الميلاد، قام المسؤول الإداري في شركة الأمن السيبراني بالنقر على الرابط الخطأ. ومن هنا بدأت الفوضى!
شركة Cyberhaven، واحدة من الشركات الناشئة الرائدة في مجال حماية البيانات ومنع تسرب المعلومات (DLP)، واجهت حادثة أمنية كارثية مؤخرًا. الشركة التي حققت نجاحًا كبيرًا بفضل منتجاتها التي تمنع المستخدمين من مشاركة معلومات حساسة في أماكن غير مصرح بها، مثل ChatGPT أو فيسبوك، تعرضت لاختراق كبير بدأ بخطأ بشري بسيط.
البداية: رسالة بريد إلكتروني مريبة
في مساء يوم الثلاثاء، عشية عيد الميلاد، تلقى أحد المسؤولين الإداريين في شركة Cyberhaven بريدًا إلكترونيًا يحمل رسالة مقلقة. كان مضمون الرسالة أن “الإضافة الخاصة بكم تنتهك سياسات جوجل وقد يتم إزالتها من متجر التطبيقات”. ولأن إزالة الإضافة من متجر جوجل كانت ستشكل ضربة قوية للشركة، قرر الإداري التصرف بسرعة.
عند النقر على الرابط المرفق في البريد، تم توجيه الإداري إلى صفحة تبدو رسمية من جوجل تطلب منه الموافقة على منح صلاحيات لتطبيق يدعى Privacy Policy Extension. من دون تردد، وافق الإداري على الطلب.
الفخ: حملة تصيد احتيالي ذكية
ما لم يكن يعرفه الإداري هو أن الرسالة كانت جزءًا من حملة تصيد احتيالي معقدة. التطبيق الذي وافق على منحه الصلاحيات لم يكن سوى أداة يستخدمها المهاجم. ومن خلال تلك الصلاحيات، تمكن المهاجم من تجاوز جميع الحمايات، بما في ذلك المصادقة الثنائية وإجراءات الأمان الأخرى.
النتيجة: تحديثات مدمرة للتطبيق
بفضل الصلاحيات الممنوحة عبر نظام OAuth، الذي يستخدم غالبًا لتسهيل الاتصال بين التطبيقات والخدمات، تمكن المهاجم من رفع نسخة جديدة من الإضافة الخاصة بـCyberhaven إلى متجر التطبيقات. هذه النسخة الجديدة احتوت على كود برمجي خبيث.
رغم أن جوجل تطبق عملية مراقبة صارمة على جميع الإصدارات الجديدة من الإضافات قبل نشرها، إلا أن النسخة الخبيثة تم نشرها في صباح يوم الأربعاء (25 ديسمبر). ولأن إضا
فات المتصفح تُحدث تلقائيًا، فقد انتشر هذا التحديث الضار إلى ما يقرب من 400,000 مستخدم خلال وقت قصير.
الخطر: استغلال البيانات الحساسة
من خلال النسخة الخبيثة، حصل المهاجم على إمكانية الوصول إلى بيانات حساسة من المستخدمين الذين تم تحديث إضافتهم تلقائيًا. لم يتم الكشف حتى الآن عن حجم الأضرار الكاملة، لكن من المتوقع أن تشمل تسريب بيانات أو الوصول إلى معلومات حساسة.
الدروس المستفادة
- التصيد الاحتيالي المتقدم: الحادثة تظهر تطور تقنيات التصيد الاحتيالي. حتى المسؤولون عن الأمن السيبراني يمكن أن يقعوا في الفخ إذا لم يتوخوا الحذر.
- مخاطر OAuth: رغم أن OAuth يسهل العمليات بين التطبيقات، فإنه يشكل نقطة ضعف إذا استغلها المهاجمون.
- التحديثات التلقائية: التحديثات التلقائية، رغم فوائدها، يمكن أن تكون خطيرة إذا لم تتم مراقبتها بصرامة.
الخطوات التالية
بدأت Cyberhaven بالتعاون مع جوجل لتحديد الأضرار واستعادة النسخة الأصلية للإضافة. كما أكدت الشركة أنها ستتخذ خطوات إضافية لتعزيز أمان البنية التحتية الرقمية لتجنب تكرار مثل هذه الحوادث في المستقبل.
هذا الحادث يعتبر تذكيرًا قويًا للشركات بأن الأمن السيبراني لا يقتصر فقط على التكنولوجيا المتقدمة، بل يعتمد أيضًا على تدريب الأفراد وتوعيتهم بمخاطر التصيد والتهديدات الأخرى.
