🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
حددت منصة BeVigil التابعة لـ CloudSek مؤخرًا ثغرة أمنية خطيرة في موقع يمكن الوصول إليه للجمهور لعملاق طيران. نشأت الثغرة الأمنية من ملف JavaScript مكشوف يحتوي على نقطة نهاية API غير مصادق عليها. منحت نقطة النهاية هذه رموز الوصول إلى Microsoft Graph بامتيازات مرتفعة، مما أدى في النهاية إلى التعرض غير المصرح به للبيانات الحساسة التي تنتمي إلى أكثر من 50,000 مستخدم Azure AD.
وجد ماسح API الخاص بـ BeVigil أن حزمة JavaScript مع نطاق فرعي مضمنة في نقطة نهاية مشفرة تم الوصول إليها بدون مصادقة. أصدرت نقطة النهاية هذه رمزًا مميزًا لواجهة برمجة تطبيقات Microsoft Graph مع أذونات مفرطة، وتحديدًا User.Read.All و AccessReview.read.all. عادةً ما يتم تقييد هذه الأذونات نظرًا لقدرتها على الوصول إلى ملفات تعريف المستخدمين الكاملة وبيانات إدارة الهوية الهامة.
باستخدام هذا الرمز المميز، يمكن للمهاجم الاستعلام عن نقاط نهاية Microsoft Graph لاسترداد معلومات الموظف التفصيلية، بما في ذلك الأسماء وعناوين الوظائف وتفاصيل الاتصال وهياكل التقارير وحتى الوصول إلى تكوينات المراجعة. لا يؤدي هذا التعرض إلى تقويض خصوصية المستخدم فحسب، بل يفتح أيضًا الباب لتصعيد الامتيازات وسرقة الهوية وحملات التصيد المستهدفة، خاصة وأن البيانات على المستوى التنفيذي قد تم الكشف عنها أيضًا.
التأثير بعيد المدى. كان من الممكن الوصول إلى البيانات المرتبطة بأكثر من 50,000 مستخدم، واستمرت نقطة النهاية في إرجاع السجلات للمستخدمين المضافين حديثًا. من بين المعلومات المكشوفة كانت المعرفات الشخصية وأسماء المستخدمين الرئيسية وتعيينات دور الوصول وتفاصيل الحوكمة الأخرى. إن التعرض لهذا الحجم يزيد بشكل كبير من سطح هجوم المؤسسة ويعرض مخاطر الامتثال في إطار أطر مثل GDPR و CCPA.
افتح لقطة الشاشة 2025-05-30 في 12.33.26 PM.png
اقترحت BeVigil تنفيذ الإجراءات التالية على سبيل الأولوية:
يؤكد هذا الحادث على أهمية تأمين مكونات الواجهة الأمامية وضمان عدم تعرض خدمات الواجهة الخلفية الحساسة بشكل مباشر. يجب على المؤسسات مراقبة بنيتها التحتية الرقمية بشكل استباقي وفرض ضوابط وصول صارمة لحماية بيانات المستخدم والحفاظ على الامتثال التنظيمي. اليقظة في كل طبقة من طبقات التكنولوجيا ليست مجرد أفضل الممارسات، بل إنها ضرورية لحماية الثقة في عالم اليوم المترابط.