عادت شركة LastPass إلى دائرة القلق الأمني من جديد، بعدما أكدت تعرض بيانات بعض عملائها للاختراق عبر ثغرة في مزود خارجي تستخدمه الشركة في إدارة معلومات السوق والمبيعات، في حادث جديد يسلط الضوء على خطر سلاسل التوريد الرقمية حتى عندما لا يكون الاختراق مباشرًا للمنتج الأساسي.
الشركة أوضحت أن الهجوم لم يستهدف خزائن كلمات المرور نفسها، ولم يمس كلمات مرور المستخدمين أو البيانات المحفوظة داخل تطبيق إدارة كلمات المرور. لكن المهاجمين تمكنوا من الوصول إلى بيانات عملاء مخزنة داخل بيئة Salesforce الخاصة بها، عبر رموز وصول OAuth مسروقة من منصة خارجية تدعى Klue.
وأكدت LastPass أن البيانات المكشوفة شملت معلومات اتصال وسجلات مرتبطة بالمبيعات والدعم، لا كلمات المرور.
كيف وصل القراصنة إلى بيانات LastPass؟
بحسب ما أعلنته LastPass وتقارير أمنية متخصصة، لم يبدأ الهجوم من داخل أنظمة LastPass الأساسية، بل من شركة Klue، وهي أداة استخبارات سوقية تستخدمها مؤسسات مختلفة لتتبع المنافسين وإدارة علاقات المبيعات.
المهاجمون حصلوا على رموز OAuth كانت Klue تحتفظ بها نيابة عن عملائها. هذه الرموز تعمل مثل مفاتيح رقمية تمنح التطبيقات الخارجية صلاحيات للوصول إلى خدمات مثل Salesforce دون الحاجة إلى إدخال كلمة مرور في كل مرة.
وبعد سرقة هذه المفاتيح، استخدمها المهاجمون للوصول إلى بيانات داخل بيئة Salesforce الخاصة بعدة شركات، بينها LastPass. وهذا النوع من الهجمات خطير لأنه لا يكسر الباب الرئيسي، بل يستخدم مفتاحًا شرعيًا مسروقًا من طرف موثوق.
ما البيانات التي تسربت؟
وفق LastPass، البيانات التي تعرضت للوصول غير المصرح به اقتصرت على: أسماء العملاء، عناوين البريد الإلكتروني، أرقام الهاتف، العناوين الفعلية، وسجلات مرتبطة بالمبيعات والدعم.
الشركة شددت على أن منتجات LastPass الأساسية لم تتأثر، وأن خزائن كلمات المرور لم يتم الوصول إليها. كما أكدت أنها لا تطلب من المستخدمين أبدًا كلمة المرور الرئيسية، في تحذير واضح من محاولات تصيد قد تستغل البيانات المسربة.
هذا يعني أن الخطر المباشر ليس في سرقة كلمات المرور من داخل الخزائن، بل في استخدام بيانات الاتصال لتنفيذ هجمات تصيد أكثر إقناعًا، مثل رسائل بريد أو مكالمات تبدو وكأنها من LastPass أو من جهة دعم فني موثوقة.
مجموعة Icarus تظهر في الصورة
الهجوم لم يقتصر على LastPass حيث استهدفت المجموعة التي تقف وراء هذا الهجوم عددًا من عملاء Klue، وهددت بنشر البيانات المسروقة إذا لم تتواصل الشركات المتضررة معها عبر تطبيق Session.
وقالت تقارير من Huntress وReliaQuest إن المهاجمين استغلوا بيانات اعتماد قديمة أو مخترقة للحصول على رموز OAuth، ثم استخدموا سكربتات Python للاستعلام عن واجهات Salesforce وسحب كميات كبيرة من البيانات من بيئات شركات متعددة.
ومن بين الضحايا الذين وردت أسماؤهم في تقارير مختلفة: Recorded Future وTanium وJamf وSprout Social وGong، إلى جانب شركات أمن سيبراني وتقنية أخرى.
كما أشارت SecurityWeek إلى أن شركات مثل Huntress وHackerOne وOneTrust وSnyk كانت ضمن الجهات التي أعلنت تأثرها بهجوم Klue.
إقرأ أيضا: ما هدف شركة إسرائيلية من اختراق واتساب؟
ليس اختراقًا لـ Salesforce.. بل إساءة استخدام للتكاملات
ما حدث، وفق التقارير، هو إساءة استخدام لتكاملات طرف ثالث تملك صلاحيات وصول إلى بيانات Salesforce لدى الشركات المتضررة.
وردًا على الحادث، كشفت Salesforce أنها عطّلت تكامل تطبيق Klue Battlecards داخل منصتها بعد حادث 11 يونيو 2026، في خطوة تهدف إلى منع استمرار استخدام الرموز المسروقة أو الوصول غير المصرح به.
هذه النقطة تجعل الحادث جزءًا من مشكلة أكبر تواجه الشركات: التطبيقات المتصلة بأنظمة حساسة قد تتحول إلى بوابة خلفية للهجوم، حتى إن كانت الأنظمة الرئيسية مؤمنة جيدًا.
إقرأ أيضا: تفاصيل فضيحة اختراق MyLovely.AI وحجم الضرر العالمي
لماذا يثير اختراق LastPass القلق أكثر من غيره؟
هذه المنصة ليست شركة عادية في نظر المستخدمين. هي مدير كلمات مرور، أي أن ثقة المستخدمين بها تقوم على فكرة أنها تحمي أكثر المعلومات حساسية في حياتهم الرقمية.
لذلك، حتى عندما تقول الشركة إن الخزائن وكلمات المرور لم تتأثر، فإن مجرد ظهور اسم LastPass في خبر اختراق جديد يكفي لإثارة القلق. الشركة سبق أن واجهت انتقادات واسعة بعد حوادث أمنية سابقة، ولذلك فإن أي حادث جديد، حتى لو جاء عبر طرف ثالث، يعيد السؤال القديم: إلى أي مدى تستطيع شركات إدارة كلمات المرور حماية منظومتها الكاملة، لا المنتج الأساسي فقط؟
إقرأ أيضا: اختراق متصفحات الذكاء الإصطناعي خلال 48 ساعة
ماذا يجب أن يفعل مستخدمو LastPass؟
لا توجد مؤشرات في هذا الحادث على ضرورة تغيير كل كلمات المرور المخزنة داخل LastPass، لأن الشركة تقول إن الخزائن لم تتأثر، لكن الحذر من التصيد أصبح ضروريًا.
على المستخدمين الانتباه لأي رسالة بريد إلكتروني أو مكالمة أو رسالة نصية تدعي أنها من LastPass وتطلب كلمة المرور الرئيسية أو رمز تحقق أو رابط تسجيل دخول، حيث تؤكد الشركة أنها لا تطلب أبدًا كلمة المرور الرئيسية من المستخدمين.
كما يُنصح بتفعيل المصادقة الثنائية، وتجنب الضغط على الروابط المرسلة عبر البريد، والدخول إلى الحساب من الموقع أو التطبيق الرسمي مباشرة، ومراجعة أي تنبيهات أمنية تصدرها الشركة.
