اختراق Anodot–Snowflake: كيف سرق ShinyHunters 78 مليون سجل عبر رمز مصادقة واحد — درس عاجل للبنوك السعودية

في الرابع عشر من أبريل 2026، نشرت مجموعة ShinyHunters 78.6 مليون سجل مسروق من شركة Rockstar Games على الفضاء المظلم، بعد أن رفضت الشركة دفع الفدية. لكنّ الأخطر من حجم التسريب هو طريقة الاختراق: لم تنفّذ المجموعة هجومها مباشرةً ضد Snowflake أو Rockstar، بل اخترقت منصة SaaS وسيطة تُدعى Anodot، وسرقت منها رموز مصادقة منحتها مفاتيح السحابة مفتوحةً على مصراعيها.

كيف تحوّلت أداة مراقبة التكلفة السحابية إلى بوابة اختراق

Anodot منصة SaaS مخصصة لمراقبة تكاليف السحابة والتحليلات التشغيلية، تربط بيئات Snowflake لعشرات العملاء عبر رموز OAuth وبيانات اعتماد مُدارة. في مطلع أبريل 2026، تمكّن ShinyHunters من اختراق بنية Anodot واستخراج هذه الرموز — وهي لا تختلف وظيفياً عن مفاتيح API تتيح قراءة وكتابة بيانات الإنتاج في Snowflake دون الحاجة إلى تجاوز أي ثغرة في Snowflake ذاتها. أصدرت المجموعة إنذاراً بتاريخ 11 أبريل بمهلة 72 ساعة، وحين انقضت المهلة يوم 14 أبريل نشرت الأرشيف كاملاً على موقع تسريباتها في شبكة Tor. رصدت تقارير متعددة أن الضحايا يزيدون على 12 شركة، غالبيتها تستخدم Anodot لربط بياناتها التشغيلية بنُظم التحليل السحابي.

تشريح الهجوم: نموذج "المُستأجر الأمين" في سلسلة توريد SaaS

يمثّل هذا الحادث نموذجاً نقياً لما يُعرف بـ "هجوم المُستأجر الأمين" (Trusted Tenant Attack): يستغل المهاجم علاقة ثقة قائمة بين خدمتَين SaaS بدلاً من استغلال ثغرة برمجية مباشرة. المسار التقني كان: اختراق Anodot ← سرقة رموز OAuth ← انتحال صلاحيات المستأجرين في Snowflake ← تصدير البيانات بالجملة. لم تُفعّل Rockstar ولا معظم الضحايا سياسة تدوير دوري لرموز المصادقة، ولا اشتراطات IP Allowlisting في بيئات Snowflake، مما جعل الرمز المسروق صالحاً للاستخدام الفوري دون أي إنذار أمني. والأخطر أن ShinyHunters تبنّت ذات الأسلوب في خروقات Ticketmaster وAT&T وCisco عام 2024 عبر بيانات Snowflake المسرّبة — أي أن هذا النمط ليس مستجداً، بل هو مسار هجومي ناضج ومُعاد توظيفه بأدوار جديدة في كل مرة.

التأثير على المؤسسات المالية السعودية

تعتمد المؤسسات المالية في المملكة العربية السعودية بصورة متصاعدة على منصات SaaS للتحليلات وإدارة التكاليف السحابية ومراقبة الأداء — كثير منها يتصل مباشرةً بمخازن بيانات سحابية تحتوي على معلومات عملاء حساسة. يُلزم إطار SAMA CSCC في المتطلب 3.3 المؤسساتِ بتقييم مخاطر الطرف الثالث وتطبيق ضوابط تعاقدية وتقنية على موفري الخدمات السحابية. كذلك يشترط إطار NCA ECC في المجال ECC-1-3-17 إدارة مخاطر سلسلة التوريد السيبرانية بما يشمل أطراف الطرف الثالث والرابع. ومن منظور نظام PDPL السعودي، فإن تسريب بيانات العملاء عبر منصة SaaS وسيطة يُعدّ انتهاكاً مباشراً لمبدأ الضمانات الكافية، وقد تصل الغرامات إلى 5 ملايين ريال مع احتمال نشر الحادثة علناً من قِبَل SDAIA — وهو ما يُفضي إلى أضرار سمعة لا تُعوَّض في قطاع يقوم على الثقة.

التوصيات والخطوات العملية

1. جرد فوري لرموز OAuth وبيانات اعتماد SaaS الطرف الثالث: أجرِ مراجعة شاملة لكل منصة SaaS متصلة ببيئات Snowflake أو BigQuery أو Databricks أو Redshift، وحدّد أيها تملك صلاحيات قراءة أو كتابة بيانات الإنتاج.
2. فعّل سياسة تدوير رموز المصادقة: اضبط انتهاء صلاحية OAuth Tokens بحد أقصى 90 يوماً، وأتمت إعادة إنتاجها عبر HashiCorp Vault أو AWS Secrets Manager أو Azure Key Vault — لا تتركها مفتوحة indefinitely.
3. طبّق IP Allowlisting على مستوى Snowflake: حدّد نطاقات IP مُعتمدة لكل تكامل SaaS، وارفض أي اتصال خارجها حتى ولو حمل رمز مصادقة صحيحاً — هذا الإجراء وحده كان سيكبح الهجوم في مرحلة مبكرة.
4. راقب أنشطة التصدير في الوقت الفعلي: فعّل Snowflake Access History وسجّل استعلامات COPY INTO وCREATE STAGE، واربطها بنظام SIEM للكشف الفوري عن عمليات تصدير بيانات ضخمة غير اعتيادية.
5. أجرِ مراجعة مخاطر الطرف الثالث وفق SAMA: قيّم كل موفر SaaS وفق منهجية SAMA Third-Party Risk Management، واشترط عليه تقديم تقرير SOC 2 Type II سنوياً كحد أدنى، مع بنود تعاقدية تُلزمه بالإبلاغ الفوري عن أي خرق.
6. استعدّ لسيناريو الإبلاغ وفق PDPL: نظام PDPL يُلزم بالإبلاغ خلال 72 ساعة عن أي خرق يطال البيانات الشخصية — تأكد من أن خطة استجابة الحوادث لديك تشمل صراحةً سيناريو الاختراق عبر طرف ثالث SaaS.

الخلاصة

اختراق Anodot–Snowflake يُثبت مرة أخرى أن المهاجمين لا يكسرون الباب الأمامي — بل يدخلون من باب موظف الصيانة الذي تثق به منذ سنوات. في بيئة تتشابك فيها عشرات منصات SaaS بعلاقات ثقة ضمنية وصلاحيات واسعة، لم يعد كافياً أن تكون شبكتك الداخلية محمية ما لم تخضع كل رابطة خارجية لنفس مستوى التدقيق والمراقبة. إدارة مخاطر سلسلة التوريد ليست بنداً في قائمة الامتثال — إنها الخط الفاصل بين "لم نتضرر" و"نحن الضحية القادمة".

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.