Salesforce تواجه أزمة أمنية جديدة بعد اختراق تكامل Gainsight
تجد شركة Salesforce، الرائدة عالمياً في إدارة علاقات العملاء السحابية، نفسها في دائرة الضوء بينما تحقق في حادثة أمنية حديثة تتعلق بتكامل تطبيق Gainsight الشائع. وبينما يبدو أن عدد الزبناء المتأثرين مباشرة محدود، يسلط هذا الاختراق الضوء على مخاطر منهجية ناتجة عن ملحقات الأطراف الثالثة الموثوقة في بيئة الأعمال الحديثة. هذا الحدث دفع بسرعة إلى نقاشات عاجلة حول الشفافية، والاستجابة للحوادث، وتشديد الممارسات الأمنية عبر سلاسل توريد خدمات SaaS المعقدة.
اختراق مصدره وصلات الأطراف الثالثة
في 19 نونبر 2025، اكتشفت Salesforce ما وصفته بـ”نشاط غير معتاد مرتبط بتطبيقات نشرتها Gainsight” متصلة بنظامها. أشارت السلوكيات المشبوهة إلى أن هناك طلبات API غير مصرح بها كانت تصدر إلى Salesforce من عناوين IP غير مدرجة ضمن العناوين المسموح بها، وذلك عبر تطبيق Gainsight Salesforce Connected App. هذا تسبب في احتمال أن يكون المهاجمون قد حصلوا على رموز OAuth أو مفاتيح سرية صالحة — وهي مفاتيح رقمية تمنح وصولاً دائماً للبيانات عبر ربط التطبيقات — مما سمح لهم بالظهور كمكونات موثوقة وربما الولوج إلى بيانات الزبناء.
استجابت Salesforce بسرعة، حيث أصدرت تنبيهاً أمنياً للزبناء، وقامت بإلغاء جميع رموز الوصول والتحديث النشطة المرتبطة بتكاملات Gainsight، وقامت مؤقتاً بإزالة تطبيقات Gainsight من سوق AppExchange. كان الهدف احتواء المشكلة فوراً والحد من أي وصول غير مصرح به إضافي بينما بدأ التحقيق الشامل. خلال ساعات قليلة، بدأت وصلات Gainsight إلى Salesforce بالفشل لدى المؤسسات المتأثرة، بما يتماشى مع هذه الإجراءات الطارئة.
الخلفية: هجمات سلسلة التوريد تستهدف بيئة إدارة العلاقات
ربط محللو الأمن الحادثة بسرعة بحملة أوسع تستهدف سلاسل توريد خدمات SaaS، مع تركيز خاص على اختراق رموز OAuth. وقد ذاع صيت هذا الأسلوب في مطلع سنة 2025 بعد حادثة اختراق تكامل Salesloft–Drift، حيث قام مهاجمون مرتبطون بمجموعة ابتزاز إلكترونية تعرف باسم ShinyHunters (UNC6240) باستخدام بيانات اعتماد OAuth مسروقة للوصول إلى بيئات Salesforce لأكثر من 700 شركة، وسرقة بيانات اتصال الأعمال وسجلات الزبناء ومعلومات الدعم.
وفي الحالة الحالية، يعتقد الباحثون الأمنيون أن بعض الرموز التي تم اختراقها أثناء حادثة Salesloft–Drift أُعيد استخدامها لاحقاً لاستهداف Gainsight ووصلات SaaS أخرى. وقد أعلنت ShinyHunters مسؤوليتها عن الحادثتين، مدعين الوصول إلى ما يقارب 1,000 مؤسسة عبر حملات منفصلة، منها أكثر من 285 حالة اختراق مباشرة عبر تكاملات Gainsight. من المهم ملاحظة أن هذه الأرقام مصدرها بيانات المهاجمين ولم تؤكدها بشكل مستقل لا Salesforce ولا Gainsight.
ما الذي تم الوصول إليه – ولمصلحة من؟
حتى وقت كتابة هذا التقرير، لم تحدد Salesforce علناً أنواع بيانات الزبناء التي قد تكون تعرضت للاختراق. وتشير تحاليل الهجمات السابقة إلى أن معلومات الاتصال المهنية، والبيانات الوصفية، ومحتويات تتعلق بالدعم كانت محل الاستهداف، بدلاً من كلمات المرور أو البيانات المالية. وتشير بلاغات Gainsight نفسها إلى أنه، بحلول أواخر نونبر، ثَبُت تأثر ثلاث مؤسسات فقط من زبناء Salesforce بشكل مباشر، دون وجود أدلة (حتى الآن) على سرقة أو استغلال بيانات على نطاق واسع.
ورغم هذا النطاق المحدود، فإن ذلك لا يقلل من خطورة التهديد. كما يوضح خبراء الأمن، الخطر المنهجي نابع من كيفية استخدام رموز OAuth — التي تمنح في كثير من الأحيان وصولاً واسعاً ودائماً — عند وقوعها في الأيدي الخطأ. ولأن بيئات SaaS الحيوية للأعمال مترابطة بهذه الرموز، يمكن للمهاجمين “التنقل” بين التكاملات الموثوقة بسهولة، مما قد ينتج عنه اختراق صامت وربما واسع النطاق.
الردود الرسمية: الاحتواء، الإبلاغ، والتحقيق
أكدت Salesforce في جميع تنبيهاتها أن سبب الاختراق لم يكن في منصتها الأساسية. بل يكمن الخلل في ممارسات الأمان وكيفية التعامل مع الرموز داخل تطبيقات الطرف الثالث من Gainsight، وربما استُغلت هذه المشكلة أكثر في منظومة SaaS الواسعة. تضمنت استجابة الشركة:
- إلغاء جميع الرموز المرتبطة بتطبيقات Gainsight
- إزالة التكاملات مؤقتاً من السوق
- إبلاغ الزبناء المتأثرين بشكل مباشر
- التحقيق الجنائي المستمر والتنسيق مع Gainsight
وقد أصدرت Gainsight تحديثات موازية لزبنائها. وأكدت الشركة الواقعة واستعانت بخبراء جنائيين خارجيين — من بينهم شركة Mandiant المختصة في الاستجابة للحوادث — لضمان تحقيق شفاف ودقيق. كإجراء وقائي إضافي، تم تعليق وصلات Gainsight المعتمدة على OAuth لمنصات كبرى أخرى مثل HubSpot وZendesk مؤقتاً، رغم عدم ملاحظة أي نشاط مشبوه هناك حتى آخر التقارير. ولا تزال Gainsight ترسل تحديثات لمجتمعها من خلال مصادر الأسئلة الشائعة وقنوات الدعم (أنظر أحدث الأسئلة الشائعة).
دروس في أمان سلسلة توريد SaaS
تسلط حادثة Salesforce–Gainsight الضوء بقوة على مواطن الضعف الملازمة للبيئات السحابية المترابطة بشكل متزايد. فالمؤسسات الحديثة — من بنوك وفينتك إلى شركات الاتصالات والجهات الحكومية — تضيف عشرات أدوات الإنتاجية والتفاعل مع الزبناء إلى بيئة Salesforce، حيث تعتمد كل منها على رموز وصول طويلة الأمد وصلاحيات عميقة. وعندما يتم اختراق تكامل واحد، قد ينتقل التأثير تدريجياً عبر سلسلة التوريد بأكملها، ما يؤثر على عدد كبير من الخدمات والبيانات الفرعية.
تُبرز نجاحات المهاجمين في استغلال رموز OAuth مدى تطور قدراتهم وأيضاً الفجوات في ممارسات الأمان لدى الشركات. فحتى إن حصّن البائعون منصاتهم الرئيسية، تبقى شبكة وصلات الطرف الثالث “الموثوقة” غالباً دون تدقيق كافٍ. وتؤكد هذه الحادثة، إلى جانب سابقتها، على أهمية:
- المراجعة الصارمة والتنظيف المستمر لكافة تطبيقات الأطراف الثالثة الموصولة
- فرض قوائم IP مسموح بها وتشديد ضوابط الوصول على التكاملات
- اعتماد مراقبة وتنبيهات مؤتمتة لسلوكيات API غير المعتادة خارج أنماط الأعمال العادية
- تدوير وإبطال الرموز بانتظام وبسرعة عند الحاجة
- الاستعداد المسبق بخطط استجابة للحوادث بين مزودي خدمات SaaS
الشفافية والتواصل: طمأنة منظومة قلقة
اعتمدت كل من Salesforce و Gainsight نهج الشفافية منذ الكشف عن الحادث، حيث وفرت تحديثات مستمرة، وصفحات أسئلة شائعة، واستجابات سريعة لمخاوف الزبناء. وبالرغم من أن بعض المؤسسات واجهت توقف خدمات مفاجئ بسبب إلغاء الرموز — مما أعاق الوصول لوظائف Gainsight–Salesforce الحرجة — فإن الأغلبية أدركت ضرورة احتواء الأمر بسرعة لتقليل الضرر.
بالنسبة لكثير من المستخدمين، كشف الحادث مدى غموض أمان SaaS أحياناً. فحذف رموز OAuth المفاجئ أوقف ليس فقط النشاط الخبيث بل أيضاً ألغى سجلات ضرورية لتحديد أي المستخدمين والخدمات منحت الموافقة، مما عقد التحقيقات الداخلية. تؤكد هذه التحديات أن الحلول التقنية وحدها غير كافية؛ بل يجب تعزيزها بتحسين السجلات والانضباط في العمليات والتنسيق بين الشركات أثناء التعامل مع حوادث سلسلة التوريد.
الأثر على الشركات المغربية والعالمية
تتجاوز تداعيات هذا الاختراق قاعدة زبناء Salesforce في أمريكا الشمالية وأوروبا. آلاف الشركات المغربية في ميادين الأبناك والاتصالات والتجزئة والإدارة العمومية تعتمد على Salesforce في عمليات الزبناء وتحليل الأعمال ودعم اتخاذ القرار. وقد أضاف الكثيرون أيضاً Gainsight أو أدوات طرف ثالث أخرى لتحليل أكبر أو أتمتة أنشطة النجاح الزبوني. بالنسبة لهذه المؤسسات، الوصول الفوري لبيانات الزبناء الحساسة ليس رفاهية — بل ضرورة حيوية للأعمال.
وتوصي التنبيهات الأمنية جميع المؤسسات المتأثرة — بغض النظر عن القطاع أو الموقع — باتخاذ تدابير فورية:
- إلغاء كافة رموز OAuth الحالية وبيانات الاعتماد الخاصة بتكاملات Gainsight، وتدوير المفاتيح السرية عند الحاجة
- إجراء مراجعة شاملة للسجلات لكافة الأنشطة بين Salesforce و Gainsight، مع التركيز على عناوين IP غير المعتادة وتحميلات البيانات الزائدة
- إزالة أو إعادة اعتماد أي تكاملات طرف ثالث غير مستخدمة أو مشبوهة
- تشديد القيود الشبكية لضمان وصول العناوين والأجهزة المصرح لها فقط إلى أنظمة إدارة العلاقات الحرجة
- تحديث بروتوكولات الاستجابة للحوادث لضمان الالتزام بالإبلاغ للجهات التنظيمية وإبلاغ الزبناء
وبالنسبة للشركات المغربية الخاضعة لقوانين الأمن السيبراني وحماية البيانات الوطنية، يشكل هذا الحدث أيضاً دعوة لمراجعة ليس فقط سياسات إدارة المخاطر في SaaS لديهم، بل كذلك ممارسات كل شريك وبائع تكامل ضمن منظومتهم الرقمية.
ماذا بعد؟
لا تزال التحقيقات حول حادثة Salesforce-Gainsight جارية، وقد التزمت الشركتان بالشفافية الكاملة وتقديم تحديثات منتظمة مع ظهور معطيات جديدة. ويتوقع خبراء أمن المعلومات وخبراء SaaS أن هذه الحادثة ستسارع باعتماد ضوابط أمنية أكثر دقة، وتحسين ممارسات إدارة OAuth، وتعزيز فحص الموردين لدى الصناعة العالمية.
في الوقت الراهن، تؤكد Salesforce أن منصتها لم تتعرض للاختراق من الناحية التقنية وأن جميع التدابير جاءت للحد من الأضرار على الزبناء. فيما عزت Gainsight نجاح احتواء الحادث في وقت مبكر لجهود المراقبة لدى Salesforce وسرعة التواصل. ويبقى ما إذا كان عدد المنظمات المتأثرة سيرتفع مستقبلاً، أو ما إذا اكتشفت اختراقات جديدة في تكاملات أخرى — أمراً لم يتضح بعد. لكن المؤكد أنه في عالم SaaS المتشابك اليوم، تبقى اليقظة والشفافية والمسؤولية الجماعية ضرورية ولا غنى عنها.
للمزيد من التفاصيل والتحديثات المستمرة، يمكن للزبناء الرجوع إلى تنبيه AppOmni حول الحادث و التقرير التقني لـ Arctic Wolf.
الطريق للأمام: الثقة واليقظة في عصر SaaS
تبرز هذه الحادثة الأخيرة مع Salesforce و Gainsight أن الشركات في عصر الشراكات الرقمية الواسعة لم تعد تستطيع اعتبار وصلات التطبيقات الخارجية علاقات “تلقائية وآمنة”. المخاطر — على السمعة واستمرارية العمل — لم تعد تحتمل الاستهانة بها. ومع انقضاء العاصفة الأولى، تتبلور قناعة جديدة: يجب تطوير بروتوكولات أمن إدارة العلاقات ليس فقط لحماية المنصات المركزية، بل أيضاً لمراقبة وتدقيق، وإن لزم الأمر فصل، كل وصلة في الشبكة المعقدة لإنتاجية الأعمال الحديثة.
