🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
أعطت نقطة نهاية API غير الآمنة المدفونة داخل ملف JavaScript للمهاجمين مفاتيح المملكة - الوصول المباشر إلى بيانات Microsoft Graph الحساسة لآلاف الموظفين، بما في ذلك كبار المديرين التنفيذيين. كشفت منصة BeVigil من CloudSek كيف يمكن أن تؤدي هذه الزلة الصامتة إلى سرقة الهوية وهجمات التصيد الاحتيالي والكوابيس التنظيمية. إليك كيفية تطور الأمر - وما يجب على مؤسستك القيام به للبقاء في أمان.
هل تعلم أن ٧٠٪ من الموارد، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية.
Schedule a Demoحددت منصة BeVigil التابعة لـ CloudSek مؤخرًا ثغرة أمنية خطيرة في موقع يمكن الوصول إليه للجمهور لعملاق طيران. نشأت الثغرة الأمنية من ملف JavaScript مكشوف يحتوي على نقطة نهاية API غير مصادق عليها. منحت نقطة النهاية هذه رموز الوصول إلى Microsoft Graph بامتيازات مرتفعة، مما أدى في النهاية إلى التعرض غير المصرح به للبيانات الحساسة التي تنتمي إلى أكثر من 50,000 مستخدم Azure AD.
وجد ماسح API الخاص بـ BeVigil أن حزمة JavaScript مع نطاق فرعي مضمنة في نقطة نهاية مشفرة تم الوصول إليها بدون مصادقة. أصدرت نقطة النهاية هذه رمزًا مميزًا لواجهة برمجة تطبيقات Microsoft Graph مع أذونات مفرطة، وتحديدًا User.Read.All و AccessReview.read.all. عادةً ما يتم تقييد هذه الأذونات نظرًا لقدرتها على الوصول إلى ملفات تعريف المستخدمين الكاملة وبيانات إدارة الهوية الهامة.
باستخدام هذا الرمز المميز، يمكن للمهاجم الاستعلام عن نقاط نهاية Microsoft Graph لاسترداد معلومات الموظف التفصيلية، بما في ذلك الأسماء وعناوين الوظائف وتفاصيل الاتصال وهياكل التقارير وحتى الوصول إلى تكوينات المراجعة. لا يؤدي هذا التعرض إلى تقويض خصوصية المستخدم فحسب، بل يفتح أيضًا الباب لتصعيد الامتيازات وسرقة الهوية وحملات التصيد المستهدفة، خاصة وأن البيانات على المستوى التنفيذي قد تم الكشف عنها أيضًا.
التأثير بعيد المدى. كان من الممكن الوصول إلى البيانات المرتبطة بأكثر من 50,000 مستخدم، واستمرت نقطة النهاية في إرجاع السجلات للمستخدمين المضافين حديثًا. من بين المعلومات المكشوفة كانت المعرفات الشخصية وأسماء المستخدمين الرئيسية وتعيينات دور الوصول وتفاصيل الحوكمة الأخرى. إن التعرض لهذا الحجم يزيد بشكل كبير من سطح هجوم المؤسسة ويعرض مخاطر الامتثال في إطار أطر مثل GDPR و CCPA.
افتح لقطة الشاشة 2025-05-30 في 12.33.26 PM.png
اقترحت BeVigil تنفيذ الإجراءات التالية على سبيل الأولوية:
يؤكد هذا الحادث على أهمية تأمين مكونات الواجهة الأمامية وضمان عدم تعرض خدمات الواجهة الخلفية الحساسة بشكل مباشر. يجب على المؤسسات مراقبة بنيتها التحتية الرقمية بشكل استباقي وفرض ضوابط وصول صارمة لحماية بيانات المستخدم والحفاظ على الامتثال التنظيمي. اليقظة في كل طبقة من طبقات التكنولوجيا ليست مجرد أفضل الممارسات، بل إنها ضرورية لحماية الثقة في عالم اليوم المترابط.
Take action now
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.
Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.
Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.
Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.