حددت منصة BeVigil التابعة لـ CloudSek مؤخرًا ثغرة أمنية خطيرة في موقع يمكن الوصول إليه للجمهور لعملاق طيران. نشأت الثغرة الأمنية من ملف JavaScript مكشوف يحتوي على نقطة نهاية API غير مصادق عليها. منحت نقطة النهاية هذه رموز الوصول إلى Microsoft Graph بامتيازات مرتفعة، مما أدى في النهاية إلى التعرض غير المصرح به للبيانات الحساسة التي تنتمي إلى أكثر من 50,000 مستخدم Azure AD.

ما الخطأ الذي حدث

وجد ماسح API الخاص بـ BeVigil أن حزمة JavaScript مع نطاق فرعي مضمنة في نقطة نهاية مشفرة تم الوصول إليها بدون مصادقة. أصدرت نقطة النهاية هذه رمزًا مميزًا لواجهة برمجة تطبيقات Microsoft Graph مع أذونات مفرطة، وتحديدًا User.Read.All و AccessReview.read.all. عادةً ما يتم تقييد هذه الأذونات نظرًا لقدرتها على الوصول إلى ملفات تعريف المستخدمين الكاملة وبيانات إدارة الهوية الهامة.

باستخدام هذا الرمز المميز، يمكن للمهاجم الاستعلام عن نقاط نهاية Microsoft Graph لاسترداد معلومات الموظف التفصيلية، بما في ذلك الأسماء وعناوين الوظائف وتفاصيل الاتصال وهياكل التقارير وحتى الوصول إلى تكوينات المراجعة. لا يؤدي هذا التعرض إلى تقويض خصوصية المستخدم فحسب، بل يفتح أيضًا الباب لتصعيد الامتيازات وسرقة الهوية وحملات التصيد المستهدفة، خاصة وأن البيانات على المستوى التنفيذي قد تم الكشف عنها أيضًا.

‍

النطاق والشدة

التأثير بعيد المدى. كان من الممكن الوصول إلى البيانات المرتبطة بأكثر من 50,000 مستخدم، واستمرت نقطة النهاية في إرجاع السجلات للمستخدمين المضافين حديثًا. من بين المعلومات المكشوفة كانت المعرفات الشخصية وأسماء المستخدمين الرئيسية وتعيينات دور الوصول وتفاصيل الحوكمة الأخرى. إن التعرض لهذا الحجم يزيد بشكل كبير من سطح هجوم المؤسسة ويعرض مخاطر الامتثال في إطار أطر مثل GDPR و CCPA.

الآثار المترتبة على الأمان والامتثال

• الوصول غير المصرح به للبيانات: يمكن للمهاجمين استغلال واجهة برمجة التطبيقات لاسترداد سجلات الموظفين السرية مباشرة من Azure AD.

‍

• إساءة استخدام الرمز: يمكن أن يمنح الرمز الذي تم تسريبه رؤية غير مقيدة لهياكل الدليل الداخلي وقرارات الحوكمة.

• التعرض التنفيذي: كانت بيانات القيادة العليا متاحة، مما جعلها أهدافًا عالية القيمة لانتحال الشخصية أو الهندسة الاجتماعية.

افتح لقطة الشاشة 2025-05-30 في 12.33.26 PM.png

‍

• الانتهاكات التنظيمية: يثير الكشف عن معلومات التعريف الشخصية دون ضمانات مناسبة مخاوف جدية بشأن الامتثال. تؤدي انتهاكات البيانات إلى تآكل ثقة المستخدم ويمكن أن تؤدي إلى الإضرار بالسمعة على المدى الطويل وتعطيل التشغيل.

العلاجات الموصى بها

اقترحت BeVigil تنفيذ الإجراءات التالية على سبيل الأولوية:

1. تعطيل الوصول العام لواجهة برمجة التطبيقات: تقييد نقطة النهاية الضعيفة وفرض ضوابط مصادقة صارمة.
2. إلغاء الرموز المخترقة: إبطال الرموز المكشوفة وتدوير بيانات الاعتماد المتأثرة.
3. فرض الامتياز الأقل: مراجعة نطاقات الرمز المميز وحصرها على ما هو ضروري فقط.
4. مراقبة استخدام API: تنفيذ التسجيل والتنبيه لاكتشاف نشاط Microsoft Graph غير الطبيعي.
5. كود الواجهة الأمامية الآمن: تجنب تضمين نقاط النهاية الحساسة أو منطق الرمز المميز في البرامج النصية من جانب العميل.
6. مراجعة الأذونات والأدوار: قم بمراجعة جميع أدوار Azure AD والوصول إلى المراجعات للتخلص من الأذونات المفرطة.
7. تطبيق تحديد المعدل: حماية نقاط نهاية API من خلال عناصر التحكم في المعدل واكتشاف العيوب.

أفكار نهائية

يؤكد هذا الحادث على أهمية تأمين مكونات الواجهة الأمامية وضمان عدم تعرض خدمات الواجهة الخلفية الحساسة بشكل مباشر. يجب على المؤسسات مراقبة بنيتها التحتية الرقمية بشكل استباقي وفرض ضوابط وصول صارمة لحماية بيانات المستخدم والحفاظ على الامتثال التنظيمي. اليقظة في كل طبقة من طبقات التكنولوجيا ليست مجرد أفضل الممارسات، بل إنها ضرورية لحماية الثقة في عالم اليوم المترابط.