اختراق Salesforce يكشف 45 مليون سجل — تحذير عاجل للمؤسسات المالية السعودية

في الرابع عشر من أبريل 2026، أعلنت شركة McGraw-Hill عن اختراق أمني ناجم عن خطأ في إعدادات منصة Salesforce، مما أتاح لمجموعة ShinyHunters الوصول إلى ما يُدّعى أنه 45 مليون سجل. والأخطر من ذلك أن الشركة أكدت أن هذا "يبدو جزءاً من مشكلة أوسع تتعلق بخطأ في إعدادات بيئة Salesforce أثّرت على منظمات متعددة" — وهو ما يجعل هذا الحادث تحذيراً مباشراً لكل مؤسسة مالية سعودية تعتمد على Salesforce CRM.

ماذا حدث في حادثة McGraw-Hill؟

اكتشفت McGraw-Hill، إحدى كبرى شركات النشر التعليمي، أن مجموعة ShinyHunters استغلت خطأً في إعدادات Salesforce للوصول إلى صفحات ويب تحتوي على بيانات داخلية. المجموعة تدّعي امتلاكها 45 مليون سجل تتضمن معلومات شخصية (PII) وتهدد بنشرها ما لم تدفع الشركة فدية. في المقابل، أكدت McGraw-Hill أن الاختراق لا يشمل أرقام الضمان الاجتماعي أو البيانات المالية أو بيانات الطلاب أو قواعد البيانات الأساسية للعملاء. أما Salesforce فقد أشارت إلى أن المشكلة تكمن في إعدادات العميل وليس في النظام الأساسي نفسه — إلا أن الضرر وقع بالفعل.

لماذا يتجاوز هذا الحادث McGraw-Hill وحدها؟

الجملة الأكثر قلقاً في بيان McGraw-Hill هي إشارتها إلى "مشكلة أوسع" تؤثر على "منظمات متعددة". هذا يعني أن خطأ الإعداد ذاته — على الأرجح صفحات Salesforce Community أو Experience Cloud أو Sites التي تُشارك بيانات أكثر مما ينبغي — قد يكون موجوداً في مئات المنظمات الأخرى دون علمها. ShinyHunters لديها تاريخ حافل في استهداف الأخطاء البنيوية في إعدادات المنصات السحابية؛ فقد نفّذت الأسلوب ذاته ضد Snowflake عام 2024 بنتائج كارثية طالت Ticketmaster وSantander وغيرهما. الأداة هنا ليست ثغرة برمجية zero-day بل هي خطأ بشري في الإعداد — وهذا النوع من الأخطاء لا يظهر في تقارير إدارة الثغرات التقليدية ولا تكشفه أدوات الفحص الاعتيادية.

التأثير على المؤسسات المالية السعودية

تعتمد معظم البنوك وشركات التمويل والتأمين الخاضعة لرقابة SAMA على Salesforce لإدارة علاقات العملاء (CRM)، وخدمات البوابة الرقمية، والتسويق المباشر. وفق متطلبات SAMA CSCC، يُلزَم هؤلاء بضمان أمن بيانات العملاء في المنصات الخارجية تحت إطار إدارة مخاطر الطرف الثالث (Third-Party Risk Management). كما يفرض نظام حماية البيانات الشخصية (PDPL) إشعار الجهة المختصة خلال 72 ساعة من اكتشاف أي اختراق يشمل بيانات شخصية. وبموجب متطلبات NCA ECC-1:2020، يجب أن تخضع أي منصة سحابية من طرف ثالث لتقييم أمني دوري موثق. إذا كانت مؤسستك تستخدم Salesforce Community Cloud أو Experience Cloud أو Sales/Service Cloud مع بوابات خارجية، فأنت قد تكون عرضة لنفس نوع الخطأ الذي ضرب McGraw-Hill.

نقاط الضعف الشائعة في إعدادات Salesforce

بناءً على أنماط الاختراق الموثقة في منصة Salesforce، إليك أبرز الأخطاء التي تفتح الأبواب أمام المهاجمين: أولاً، إتاحة كائنات Salesforce Objects للمستخدمين الضيوف (Guest Users) دون قصد من خلال إعدادات Object-Level Security أو Organization-Wide Defaults (OWD) غير صحيحة. ثانياً، صفحات Experience Cloud أو Sites مُهيأة بصلاحيات "Public" أو "Login Optional" مع إتاحة سجلات حساسة تحتوي على PII. ثالثاً، غياب مراجعات Sharing Rules الدورية في بيئات متعددة الـ org أو sandbox مرتبطة ببيئة الإنتاج. رابعاً، Flows وApex Triggers تتجاوز قواعد الأمان وتُرجع بيانات خارج نطاق الصلاحيات المقصودة. خامساً، API Endpoints مكشوفة عبر Connected Apps دون تقييد IP أو نطاق OAuth صارم.

التوصيات والخطوات العملية

1. تشغيل Org Security Health Check فوراً: ادخل إلى Setup > Security > Health Check في Salesforce وتأكد من الوصول لدرجة 80% أو أعلى. ركّز على Guest User Permissions وOWD للكائنات الحساسة.
2. مراجعة صلاحيات Guest User بشكل كامل: انتقل إلى Setup > Sites > Guest User Profile وتحقق من أن لا كائنات تحتوي على بيانات عملاء أو معاملات متاحة للمستخدم الضيف.
3. تفعيل Salesforce Shield أو Event Monitoring: فعّل Transaction Security Policies لاكتشاف أنماط الوصول غير المعتادة، وفعّل Field Audit Trail لتتبع من قرأ أي حقول حساسة.
4. اختبار اختراق متخصص في Salesforce: اطلب pentest متخصص في منصات Salesforce يشمل فحص Guest Access وAPI Endpoints وبوابات Experience Cloud — وهذا يختلف جوهرياً عن اختبار الاختراق التقليدي للشبكة.
5. توثيق Salesforce في سجل مخاطر الطرف الثالث: وثّق المنصة ضمن Third-Party Risk Register وفق SAMA CSCC، وتأكد من وجود بنود Data Processing Agreement وData Breach Notification في عقدك مع Salesforce وشركاء التكامل.
6. إعداد خطة استجابة لحوادث PDPL: حدد مسبقاً ما إذا كانت بيانات المستخدمين المخزنة في Salesforce تستوجب إشعار SDAIA في حال حدوث اختراق، وطوّر Playbook للاستجابة يشمل الإشعار خلال 72 ساعة.

الخلاصة

حادثة McGraw-Hill ليست مجرد أزمة شركة نشر — إنها تحذير صريح بأن منصات السحابة الكبرى كـ Salesforce تُصبح أدوات للمهاجمين حين تُترك إعداداتها دون مراجعة منتظمة. في بيئة تتصاعد فيها هجمات ShinyHunters وغيرها من مجموعات التهديد المستمر المتقدم (APT)، لا تكفي إدارة التحديثات الأمنية الدورية — يلزم فحص تهيئة المنصات السحابية بصورة استباقية ومنتظمة كجزء من برنامج إدارة السطح الهجومي. مؤسستك المالية لا يمكنها أن تتحمل تسرب بيانات عملائها بسبب خانة اختيار خاطئة في لوحة إعدادات Salesforce.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل فحص إعدادات منصاتك السحابية كـ Salesforce وتحديد نقاط الضعف قبل أن يستغلها المهاجمون.