اختراق Vercel يكشف: بيانات عملاء سُرقت قبل الهجوم المُعلَن بأسابيع
كشفت شركة Vercel أن بيانات عملاء سُرقت قبل الاختراق المُعلَن في أبريل 2026، عبر برمجيات سرقة المعلومات والهندسة الاجتماعية، في حادثة تُسلّط الضوء على مخاطر سلاسل التوريد البرمجية.

توسّعت أبعاد الاختراق الأمني الذي أعلنته شركة Vercel الأمريكية لاستضافة التطبيقات، بعد أن كشفت عن وجود اختراقات سابقة تسبق الحادثة التي اكتُشفت في مطلع أبريل 2026. وأوضح البيان الموسّع الصادر عن الشركة في الثالث والعشرين من أبريل 2026 أنها «عثرت على عدد محدود من حسابات العملاء التي تحمل أدلةً على اختراقات سابقة، مستقلة عن هذه الحادثة وسابقة لها».
تعود جذور الحادثة الأصلية إلى قيام موظف في Vercel بتحميل برنامج من شركة Context AI كان قد تعرّض للاختراق من قِبَل جهات ضارة. استغل المهاجمون هذا البرنامج للوصول إلى حساب العمل الخاص بالموظف، ومنه إلى أنظمة Vercel الداخلية. وكشف تحليل السجلات أن المهاجمين نفّذوا عمليات استطلاع مكثفة للواجهات البرمجية بحثاً عن متغيرات البيئة وبيانات الإعداد بصورة ممنهجة وسريعة.
أما الاختراقات السابقة للحادثة الرئيسية، فيُرجّح أنها جاءت عبر برمجيات سرقة المعلومات أو الهندسة الاجتماعية أو مسارات هجوم أخرى مستقلة. برمجيات سرقة المعلومات هي نوع من البرمجيات الخبيثة تعمل بصمت على أجهزة المطوّرين والموظفين، حاصدةً رموز الجلسات ومفاتيح الواجهات البرمجية وبيانات الاعتماد التي تمنح المهاجمين مداخل تبدو مشروعة إلى بنى تحتية حساسة.
يتصاعد استخدام هذا النوع من البرمجيات الخبيثة في الهجمات السيبرانية الموجّهة ضد شركات التقنية والمطوّرين، نظراً لأن الأجهزة الشخصية والمهنية للمبرمجين تُعدّ مستودعاً غنياً لبيانات الاعتماد التي تُتيح الوصول إلى بيئات الإنتاج والخدمات السحابية الحساسة.
أكدت Vercel أن عدد الحسابات المتضررة من الاختراقات السابقة محدود، غير أنها لم تُفصح عن أرقام دقيقة. وأشارت إلى أنها بادرت فوراً إلى إخطار العملاء المتضررين وتعزيز إجراءاتها الأمنية، فيما أوصت عملاءها بمراجعة مفاتيح واجهاتهم البرمجية وتغييرها احتياطاً.
تكشف هذه الحادثة عن إشكالية هيكلية في منظومة أمن سلسلة التوريد البرمجية: حين يُثبّت موظف برنامجاً من طرف ثالث، فإنه يُدخل متجهاً محتملاً للاختراق إلى أنظمة مؤسسته بأكملها. وقد شهدت السنوات الأخيرة تصاعداً ملحوظاً في الهجمات التي تستهدف سلاسل التوريد البرمجية بدلاً من الهجوم المباشر على الأهداف الرئيسية.
يُذكّر اختراق Vercel بنمط متكرر في عالم الأمن السيبراني: الحادثة الواحدة حين تُحقَّق بعمق تكشف عن اختراقات أقدم لم تُلاحَظ في حينها، مؤكدةً أهمية المراقبة الأمنية الاستباقية المستمرة وتحليل السجلات بحثاً عن علامات الخطر المبكرة. إن التحديد المبكر يُقلّص أضرار الاختراقات الأمنية بصورة كبيرة ويُوفر فرص الاحتواء قبل تعاظم الأثر.
المزيد من أمن
عمدة سان فرانسيسكو يطالب بتشديد قواعد سيارات الأجرة الذاتية بعد فوضى Waymo
طالب عمدة سان فرانسيسكو بفرض اشتراطات تشغيلية أصرم على شركات المركبات ذاتية القيادة إثر شلّ روبوتاكسي Waymo شوارع المدينة لساعات خلال احتفالات الرابع من يوليو.

تطبيق Stardust يُشارك بيانات الصحة الإنجابية سراً رغم ادعاءاته بالخصوصية
كشف بحث مؤسسة موزيلا أن تطبيق Stardust يُرسل بيانات صحية خاصة بالمستخدمات إلى شركة تحليلات خارجية، في تناقض صريح مع ادعاءاته بالخصوصية المطلقة.

المملكة المتحدة تسجن قراصنة Scattered Spider خلّفوا خسائر 47 مليون دولار
أصدرت محاكم المملكة المتحدة أحكاماً بسجن شابَّين ثبت انتماؤهما لمجموعة القرصنة Scattered Spider، إثر اختراقهما أنظمة هيئة نقل لندن وتعطيل خدمات المترو لأسابيع عدة.

هجوم فدية يُوقف إنتاج Fairlife الألبانية التابعة لكوكا كولا في أمريكا
كشفت شركة كوكا كولا في إفصاح رسمي لهيئة الأوراق المالية عن تعرّض فرعها الألباني Fairlife لهجوم برمجيات فدية أوقف عمليات الإنتاج بالكامل في الولايات المتحدة.
جوجل تُطلق صوراً رمزية ذكية تُتيح للمستخدمين التمثيل في مقاطع الفيديو
أضافت جوجل ميزة الصورة الرمزية المولَّدة بالذكاء الاصطناعي إلى منصة Google Vids، مما يُتيح للمستخدمين إنشاء نسخ رقمية منهم للظهور في محتوى مرئي احترافي دون تصوير فعلي.

الصين تُجيز آبل إنتيليجنس بالشراكة مع نموذج قوِن الذكي من علي بابا
الذكاء الاصطناعي التوليدي من آبل يحصل على موافقة رقابية صينية للإطلاق في نظام iOS بالشراكة مع نموذج قوِن من علي بابا، بعد مفاوضات امتدت عاماً مع كبرى شركات الذكاء الاصطناعي في الصين.