Netcrook Logo
👤 SECPULSE
🗓️ 24 Mar 2026   🌍 North America

عملاق مكافآت اكتشاف الثغرات HackerOne يتعرض لاختراق جانبي بعد اختراق مزوّد المزايا

ثغرة في سلسلة التوريد لدى مزوّد خارجي تكشف بيانات حساسة لمئات من موظفي HackerOne، ما يثير تساؤلات حول أمن المورّدين داخل صناعة الأمن السيبراني نفسها.

في مفارقة تطمس الحدود بين الصيّاد والفريسة، وجدت منصة مكافآت اكتشاف الثغرات الشهيرة HackerOne - الموثوق بها لدى عمالقة التقنية والوكالات الحكومية على حد سواء - أن موظفيها أنفسهم وقعوا ضحايا لاختراق بيانات. لم ينشأ الاختراق من خلل في دفاعات HackerOne، بل عبر مورّد هو Navia، وهو مدير مزايا يخدم أكثر من 10,000 صاحب عمل في الولايات المتحدة. وتسلّط الحادثة الضوء على تنامي المخاطر التي تفرضها ثغرات سلسلة التوريد، حتى على أكثر المؤسسات وعيًا بالأمن.

تشريح هجوم سلسلة التوريد

أصبحت HackerOne، المنصة التي تقف وراء ما يقرب من 2,000 برنامج مكافآت ثغرات لعملاء مثل جنرال موتورز وغولدمان ساكس ووزارة الدفاع الأمريكية، على نحو ساخر ضحية لثغرة خارج نطاق سيطرتها. ووفقًا لإيداع لدى المدعي العام لولاية مين، نجم الاختراق عن خلل من نوع «تفويض مستوى الكائن المكسور» (BOLA) في أنظمة Navia، ما أتاح لمهاجم مجهول الوصول إلى بيانات حساسة على مدى عدة أسابيع بين أواخر ديسمبر 2025 ومنتصف يناير 2026.

المعلومات المسروقة كنز للهندسة الاجتماعية: الأسماء، وأرقام الضمان الاجتماعي، وبيانات الاتصال، وتواريخ الميلاد، ومعلومات التسجيل في المزايا لـ 287 موظفًا ومعاليهم. وبينما تؤكد Navia أن البيانات المالية وبيانات المطالبات لم تُمس، فإن التفاصيل المكشوفة كافية لمحاولات تصيّد موجّه وسرقة هوية.

رصدت Navia نشاطًا مريبًا في 23 يناير 2026، لكنها لم تُخطر الشركات المتأثرة إلا بعد شهر. وردًا على ذلك، حثّت HackerOne الموظفين على الانتباه للاتصالات المشبوهة، وتغيير كلمات المرور وأسئلة الأمان، وقدّمت عامًا من الحماية المجانية من سرقة الهوية ومراقبة الائتمان.

لماذا لا يتمتع مزوّدو الأمن السيبراني بالحصانة

يؤكد هذا الاختراق حقيقة قاسية: حتى المؤسسات التي تتصدر مشهد الأمن السيبراني تبقى عرضة لأضعف الحلقات في سلسلة مورّديها. ومع ازدياد ترابط النظم البيئية الرقمية، يستهدف المهاجمون بشكل متزايد مزوّدي الخدمات من الأطراف الثالثة لتجاوز الدفاعات الأساسية القوية. وثغرة BOLA التي استُغلت لدى Navia هي خلل شائع - وغالبًا ما يُغفل - في تطبيقات الويب، ويمكن أن يؤدي إلى كشف كارثي للبيانات إذا تُرك دون معالجة.

ومع عدم إعلان أي مجموعة إجرامية مسؤوليتها حتى الآن، تظل الحادثة محاطة بالضبابية - ما يثير مزيدًا من القلق بشأن شفافية المورّدين واستعدادهم حين يُؤتمنون على معلومات شديدة الحساسية. وبالنسبة لقادة الأمن السيبراني، فالدرس واضح: الثقة ليست وسيلة تحكم، والمرونة الحقيقية تتطلب يقظة عبر كل طبقة من طبقات سلسلة التوريد.

الارتدادات: دروس من الاختراق

بينما يواجه موظفو HackerOne أنفسهم تبعات الاختراق، تُعدّ هذه الواقعة تذكيرًا صارمًا: في الأمن السيبراني، لا تكون دفاعاتك أقوى من أكثر شركائك هشاشة. وعلى الصناعة أن تضاعف جهودها في التدقيق الصارم، والمراقبة المستمرة، وبروتوكولات الاستجابة السريعة - ليس لأنفسها فحسب، بل لكل مورّد يملك مفتاحًا إلى مملكتها.

WIKICROOK

  • برنامج مكافآت اكتشاف الثغرات: يكافئ برنامج مكافآت الثغرات الباحثين المستقلين على العثور على ثغرات البرمجيات والإبلاغ عنها، ما يساعد المؤسسات على تعزيز أمنها السيبراني.
  • هجوم سلسلة التوريد: هجوم سلسلة التوريد هو هجوم سيبراني يساوم مزوّدي البرمجيات أو العتاد الموثوقين، ناشرًا برمجيات خبيثة أو ثغرات إلى العديد من المؤسسات دفعة واحدة.
  • BOLA (تفويض مستوى الكائن المكسور): BOLA هي ثغرة أمنية يتمكن فيها المهاجمون من الوصول إلى البيانات أو تعديلها عبر استغلال ضعف أو غياب عمليات التحقق من التفويض على مستوى الكائن داخل التطبيقات.
  • الهندسة الاجتماعية: الهندسة الاجتماعية هي استخدام الخداع من قبل المخترقين لخداع الأشخاص كي يكشفوا معلومات سرية أو يوفّروا وصولًا غير مصرح به إلى الأنظمة.
  • خدمة حماية الهوية: تراقب خدمة حماية الهوية بياناتك الشخصية لرصد أي نشاط مريب وتنبهك إلى الاحتيال المحتمل أو سرقة الهوية، ما يساعد على الحفاظ على أمان معلوماتك.
HackerOne data breach supply chain
SECPULSE SECPULSE
SOC Detection Lead
← Back to news