اختراق شركة كلو يُعرّض بيانات مستخدمي لاست باس لأخطار الاحتيال الإلكتروني
كشف مدير كلمات المرور لاست باس أن بيانات دعم عملائه سُرقت إثر اختراق طال شركة كلو لأبحاث السوق، في ثاني خرق أمني كبير يمس المنصة خلال أربع سنوات.
ليس اختراق البيانات حادثةً عرضيةً بقدر ما هو نمط متكرر يُثبت أن سلاسل التوريد الرقمية هشة كما أقوى المؤسسات الأمنية. في يونيو 2026، أعلن مدير كلمات المرور الشهير لاست باس أن بيانات قسم دعم عملائه قد اختُرقت، لا عبر ثغرة في أنظمته هو، بل عبر اختراق طال شريكه التجاري شركة كلو المتخصصة في أبحاث السوق.
الحادثة جزء من اختراق أوسع نطاقاً استهدف شركة كلو وطال معها شركاء أمنيين بارزين آخرين، من بينهم HackerOne المتخصصة في كشف الثغرات، وRecorded Future للتحليلات الأمنية، وTanium في مجال الأمن المؤسسي. أي أن المهاجمين نجحوا بضربة واحدة في النفاذ إلى بيانات بعض أكثر الشركات الأمنية ثقةً في العالم.
تكشف الرواية التفصيلية لهذه الحادثة عن ثغرة كلاسيكية في إدارة بيانات الاعتماد: مجموعة من المهاجمين تُعرف بـIcarus سرقت في عام 2022 بيانات وصول إلى أنظمة كلو، لكن الشركة لم تُبطل هذه البيانات لسنوات. وقد استخدم المهاجمون هذا المفتاح الخامل لاختراق الأنظمة عام 2026 والوصول إلى بيانات دعم عملاء لاست باس، التي شملت أسماء العملاء وأرقام هواتفهم وعناوين بريدهم الإلكتروني وعناواينهم البريدية.
صرّح لاست باس بأن بنيته التحتية الأساسية ومخازن كلمات المرور المشفرة لم تتأثر بهذه الحادثة. غير أن هذا التطمين يجب أن يُقرأ في سياقه الكامل: فلاست باس يمر بتاريخ أمني متعثر. في عام 2022، تعرّض لاختراق أكبر بكثير سُرقت فيه خزائن كلمات المرور الكاملة المشفرة للمستخدمين. وعلى مدى السنوات التالية، تمكّن المهاجمون من كسر تشفير عدد من هذه الخزائن التي اعتمدت على كلمات مرور رئيسية ضعيفة.
ماذا يعني هذا للمستخدمين؟ على المدى الفوري، يجب الانتباه لرسائل التصيد الإلكتروني التي قد تستغل البيانات المسرّبة: فمن يعلم اسمك ورقم هاتفك وأنك عميل لاست باس يمكنه محاولة خداعك برسائل مُقنعة تدّعي أنها من الشركة.
الحادثة تُعيد طرح سؤال هيكلي: ما مدى أمان السماح لطرف ثالث بالاحتفاظ ببيانات حساسة لمستخدميك؟ في مشهد الأمن المعلوماتي الحديث، لا يكفي أن تُحكم بيتك؛ فضعف جارك قد يفتح بابك. هذه الحادثة ليست استثناءً بل قاعدة تُرسّخها المتطلبات التجارية لمشاركة البيانات مع شركاء وموردين ومنصات.
لا يقتصر أثر مثل هذه الاختراقات على الغرب؛ إذ يتزايد اعتماد الشركات والأفراد في العالم العربي على مديري كلمات المرور الرقمية في ظل التحول الرقمي المتسارع. وقد رصدت الهيئة الوطنية للأمن السيبراني في المملكة العربية السعودية وهيئة الأمن السيبراني في الإمارات ارتفاعاً ملحوظاً في حوادث التصيد الاحتيالي المستهدف خلال السنوات الأخيرة. ومع توسّع القطاع المصرفي الخليجي في الخدمات الرقمية، تتضاعف قيمة بيانات المستخدمين لدى جهات خارجية، مما يجعل التدقيق في أمن سلاسل التوريد الرقمية ضرورةً مؤسسية لا ترفاً.
الحل لن يكون بعزل المؤسسات عن شركائها، بل بتبني معايير صارمة لإدارة بيانات الاعتماد وتحديدها ومراجعتها دورياً بعد التكامل مع أي طرف خارجي. وقبل كل شيء، ينبغي إلغاء البيانات القديمة المهجورة التي لم تعد ضرورية، فهي نقطة ضعف كامنة تنتظر من يستغلها. للمستخدمين الأفراد: إذا كنت من عملاء لاست باس، غيّر كلمة مرورك الرئيسية وفعّل المصادقة الثنائية إذا لم تكن قد فعلت ذلك بعد. الحذر هنا ليس مبالغةً بل وقايةً منطقية.
المزيد من أمن
اختراق شركة Klue يُسرّب بيانات تسع شركات كبرى في مجال الأمن السيبراني
تعرضت شركة استخبارات السوق الكندية Klue لهجوم إلكتروني أسفر عن سرقة بيانات تسع شركات أمنية بارزة من بينها HackerOne وRecorded Future، عبر استغلال بيانات اعتماد قديمة مخترقة.
ثغرة دائمة في رقائق آبل A12 وA13 تُتيح كسر حماية آيفون
كشفت شركة الأمن السيبراني Paradigm Shift عن ثغرة أمنية في ذاكرة الإقلاع الثابتة لرقائق آبل A12 وA13 لا يمكن إصلاحها ببرامج التحديث، مما يُبقي أجهزة آيفون من إصدارات 2018-2019 عرضة لعمليات كسر الحماية.
أوبن إيه آي تطلق مبادرة "رقّع الكوكب" لحماية برمجيات المصدر المفتوح
أعلنت أوبن إيه آي عن مبادرة "Patch the Planet" بالشراكة مع شركة Trail of Bits الأمنية، تستهدف اكتشاف الثغرات الأمنية في مشاريع المصدر المفتوح وإصلاحها بمساعدة نماذج الذكاء الاصطناعي.