اختراق Adobe عبر مزود BPO: 13 مليون تذكرة دعم مسرّبة وتحذير عاجل لإدارة مخاطر الطرف الثالث

في مطلع أبريل 2026، أعلن مهاجم يُعرّف عن نفسه بـ"Mr. Raccoon" عن اختراق ادّعى فيه سرقة أكثر من 13 مليون تذكرة دعم فني من Adobe، إلى جانب 15,000 سجل موظف وجميع بيانات برنامج مكافآت الثغرات HackerOne. الأخطر في الأمر ليس حجم البيانات المسرّبة، بل المسار الذي سلكه المهاجم: شركة BPO هندية تُقدّم خدمات دعم للعملاء لصالح Adobe.

كيف تحوّل موظف BPO إلى نقطة دخول في شبكة Adobe؟

وفق ما كشفه المهاجم لباحثي الأمن، بدأ الاختراق برسالة بريد إلكتروني خبيثة أُرسلت لموظف في شركة BPO الهندية المتعاقدة مع Adobe. نجحت الرسالة في تثبيت أداة وصول عن بُعد (RAT) على جهاز الموظف، ثم استغلّ المهاجم هذا الوصول لإرسال رسالة تصيّد احتيالي موجّهة إلى مدير الموظف، مما فتح الباب أمام اختراق أعمق. وبمجرد أن أصبح لديه حساب وكيل دعم فعلي، استغلّ ثغرة إجرائية صارخة: منصة التذاكر كانت تسمح بتصدير كامل التذاكر بطلب واحد، دون أي حدود أو آليات كشف تُراقب عمليات الاستخراج الجماعي للبيانات.

ما الذي تضمّنته البيانات المسرّبة؟

تشير المعلومات المتاحة إلى أن الحزمة المسرّبة تحتوي على 13 مليون تذكرة دعم فني تمتد على سنوات، تتضمن بيانات العملاء وتفاصيل المشكلات التقنية ومعلومات الاشتراكات. يُضاف إلى ذلك 15,000 سجل موظف، وما هو أكثر حساسية: جميع تقارير الثغرات المُقدّمة عبر منصة HackerOne، وهي بطبيعتها معلومات مفيدة جداً لأي مهاجم يبحث عن ثغرات غير مُصلَحة في منتجات Adobe. لم تؤكد Adobe هذا الاختراق رسمياً حتى الآن، غير أن التحقيقات المستقلة لباحثين عدة لم تستطع دحض صحة العينات المسرّبة.

التأثير على المؤسسات المالية السعودية: لماذا هذا الحادث مقلق للغاية؟

تعتمد البنوك وشركات التأمين وشركات التقنية المالية في المملكة على عشرات بل مئات من مزودي الخدمات الخارجيين: شركات دعم فني، ومراكز بيانات مُشتركة، ومزودو SaaS، وشركات BPO. إطار SAMA CSCC في نطاق التحكم 5.4 يُلزم المؤسسات المالية بتطبيق برنامج متكامل لإدارة مخاطر الطرف الثالث، يشمل تقييم المخاطر قبل التعاقد، ومراقبة مستمرة، وحق التدقيق. ما حدث مع Adobe يُجسّد بدقة سيناريو الفشل الذي يحذّر منه هذا الإطار: الجهة الأصلية (Adobe) لم يُخترق حائطها المباشر، بل جرى الوصول إليها من خلال طرف ثالث يملك صلاحيات تشغيلية حقيقية. في البيئة السعودية، تُضاف إلى ذلك متطلبات نظام حماية البيانات الشخصية PDPL التي تُوجب الإبلاغ عن خروقات البيانات خلال فترة محددة، حتى إن كان الاختراق وقع في بنية تحتية لطرف ثالث.

خمس توصيات عملية لتعزيز إدارة مخاطر الطرف الثالث

1. تطبيق مبدأ الصلاحية الدنيا على حسابات الوكلاء الخارجيين: حسابات BPO والدعم الفني يجب أن تمتلك صلاحيات محدودة وقابلة للمراجعة. لا يجب أن يتمكن أي حساب وكيل من تصدير بيانات جماعية دون موافقة متعددة المستويات.
2. مراقبة سلوك وصول الطرف الثالث باستخدام UEBA: أدوات تحليل سلوك المستخدمين والكيانات (مثل Securonix أو Splunk UEBA) تُنبّه عند حدوث استخراج بيانات غير مألوف حتى من حسابات شرعية.
3. مراجعة دورية لصلاحيات وصول الموردين: وفق SAMA CSCC، يجب إجراء مراجعة ربع سنوية على الأقل لصلاحيات كل جهة خارجية. ابدأ بالجهات التي تملك وصولاً للبيانات الحساسة أو أنظمة العملاء.
4. إدراج بنود أمنية ملزمة في عقود الطرف الثالث: اشترط على مزودي BPO وباقي الموردين إثبات امتثالهم لمعايير ISO 27001 أو ما يعادلها، وأدرج حق التدقيق الميداني في العقد.
5. محاكاة سيناريو اختراق الطرف الثالث في تمارين الطوارئ: أضف سيناريو "الاختراق عبر مورد خارجي" ضمن تمارين Red Team وخطط الاستجابة للحوادث. هذا السيناريو لم يعد نظرياً.

الخلاصة

حادثة Adobe تُذكّرنا بحقيقة ثابتة في أمن المعلومات: أمانك لا يقاس بجدارك الأقوى، بل بأضعف حلقة في سلسلة مورّديك. المؤسسات المالية السعودية التي تعتمد على شركاء تشغيليين خارجيين — سواء كانوا مزودي دعم أو منصات SaaS أو مراكز بيانات — تحمل مسؤولية تنظيمية وقانونية كاملة عن أي بيانات مشتركة معهم، بما فيها متطلبات الإبلاغ وفق PDPL وTCIR.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة شاملة لبرنامج إدارة مخاطر الطرف الثالث لديك.