بهره‌برداری از آسیب‌پذیری‌ها برای اولین بار از اعتبارنامه‌های دزدیده شده پیشی گرفت

گزارش 2026 Data Breach Investigations Report ورایزن حاوی آماری است که باید اولویت‌های امنیتی هر سازمانی را دوباره تعریف کند: برای اولین بار در ۱۹ سال، بهره‌برداری از آسیب‌پذیری‌های نرم‌افزاری از اعتبارنامه‌های دزدیده شده به عنوان نقطه ورود اصلی نقض داده‌ها پیشی گرفته است. این یک تغییر حاشیه‌ای نیست – بلکه نشان‌دهنده یک تحول بنیادین در نحوه دسترسی مهاجمان به شبکه‌های سازمانی است.

این تغییر منعکس‌کننده دو روند همگرا است: اسکن آسیب‌پذیری مبتنی بر هوش مصنوعی که زمان بهره‌برداری را از ماه‌ها به ساعت کاهش می‌دهد، و ناتوانی مداوم سازمان‌ها در اعمال patchها در بازه زمانی مناسب. Ivanti، Fortinet، SAP، VMware و n8n همگی در می 2026 patchهای حیاتی برای نقص‌هایی که به طور فعال مورد بهره‌برداری قرار می‌گیرند منتشر کردند. دو zero-day ویندوز بدون patch به نام‌های «YellowKey» و «GreenPlasma» پس از سه‌شنبه patch مایکروسافت در می 2026 افشا شدند که قادر به دور زدن BitLocker recovery و اعطای دسترسی مدیریتی در سیستم‌های بدون patch هستند.

ShinyHunters می‌جهنمی را سپری می‌کند

گروه اخاذی ShinyHunters پشت دو مورد از مهم‌ترین نقض‌های داده‌ای است که در می 2026 فاش شده است. اولین مورد: Carnival Corporation شروع به اطلاع‌رسانی به حدود ۶ میلیون نفر کرده است که اطلاعات شخصی آن‌ها – نام، آدرس، ایمیل، شماره تلفن، تاریخ تولد و شماره‌های شناسایی دولتی – پس از آن که ShinyHunters با مهندسی اجتماعی یک کارمند را به خطر انداخت و به بخشی از سیستم‌های IT Carnival دسترسی پیدا کرد، در معرض دید قرار گرفته است.

مورد دوم از نظر مقیاس احتمالاً بزرگ‌تر است. Instructure Inc.، شرکت پشت سیستم مدیریت یادگیری Canvas که توسط دانشگاه‌ها و مدارس K-12 در سراسر آمریکا استفاده می‌شود، هدف حمله باج‌افزاری قرار گرفت که در آن ShinyHunters تهدید به افشای داده‌های مرتبط با ۲۷۵ میلیون کاربر کرد. Canvas توسط بیش از ۳۰ میلیون دانشجو و مربی در سراسر جهان استفاده می‌شود. اگر حجم ادعا شده داده‌ها دقیق باشد، این یکی از بزرگ‌ترین نقض‌های بخش آموزش در تاریخ خواهد بود.

هر دو نقض یک بردار اولیه مشترک دارند: مهندسی اجتماعی علیه کارمندان، نه بهره‌برداری فنی از نقص‌های نرم‌افزاری. این موضوع اهمیت دارد زیرا به این معنی است که سخت‌افزاری کردن محیط پیرامونی – patch کردن، فایروال‌گذاری، تقسیم‌بندی شبکه – در برابر مهاجمی که یک کارمند قانونمند را متقاعد به تحویل اعتبارنامه می‌کند، محافظتی ایجاد نمی‌کند.

حوادث Foxconn و ADT: حملات زنجیره تأمین و هویت

کارخانه‌های Foxconn در آمریکای شمالی در می 2026 مورد حمله باج‌افزاری گروه Nitrogen قرار گرفتند که ادعا کرد ۸ ترابایت داده را خارج کرده است. محیط‌های تولیدی به طور فزاینده‌ای هدف قرار می‌گیرند زیرا اغلب سیستم‌های قدیمی OT (فناوری عملیاتی) با تقسیم‌بندی ضعیف شبکه از IT سازمانی اجرا می‌کنند که پس از نفوذ مهاجم، مسیرهای جانبی آسانی ایجاد می‌کند.

ADT پس از آن که گروه ShinyHunters ادعا کرد اطلاعات شخصی ۵.۵ میلیون مشتری ADT را دزدیده است – با یک کمپین vishing (مهندسی اجتماعی تلفنی) که از طریق حساب Okta SSO یک کارمند به خطر افتاده بود – مورد scrutiny قرار گرفت. بردار Okta مهم است: سیستم‌های SSO اهداف باارزشی هستند زیرا یک حساب واحد می‌تواند دسترسی به ده‌ها برنامه متصل را فراهم کند. حادثه ADT نشان می‌دهد که چرا vishing – مهندسی اجتماعی مبتنی بر تلفن – با وجود سادگی و اثربخشی، همچنان به عنوان یک بردار حمله دست‌کم گرفته می‌شود.

برنامه‌های ساخته شده با هوش مصنوعی یک سطح حمله جدید هستند

تحقیقات WIRED که در می 2026 منتشر شد، هزاران برنامه وب ساخته شده با ابزارهای کدنویسی هوش مصنوعی را یافت که به صورت عمومی قابل دسترسی باقی مانده بودند و گاهی داده‌های حساس شرکتی و شخصی را افشا می‌کردند. الگو این است: توسعه‌دهندگان از دستیاران هوش مصنوعی برای نمونه‌سازی سریع و استقرار برنامه‌ها استفاده می‌کنند، اما مراحل بررسی امنیتی – احراز هویت، مجوزدهی، اعتبارسنجی ورودی – را که در یک فرایند توسعه رسمی شناسایی می‌شود، نادیده می‌گیرند.

این یک مشکل ساختاری است، نه یک مورد منفرد. ابزارهای کدنویسی هوش مصنوعی آستانه مهارت برای ساخت برنامه‌های کاربردی را کاهش می‌دهند، اما به طور خودکار آستانه مهارت برای ساخت برنامه‌های امن را کاهش نمی‌دهند. توسعه‌دهنده‌ای که نمی‌داند چگونه احراز هویت را پیاده‌سازی کند، نمی‌تواند توسط یک ابزار هوش مصنوعی که نمی‌داند به آن نیاز دارد، محافظت شود. سازمان‌ها باید فرایندهای بررسی امنیتی خود را به گونه‌ای گسترش دهند که کد تولید شده توسط هوش مصنوعی را با همان دقتی که برای کد انسانی اعمال می‌شود، شامل شود.

افشای اعتبارنامه CISA: وقتی تیم‌های امنیتی خود آسیب‌پذیری هستند

یکی از نگران‌کننده‌ترین حوادث می از داخل خانه بود: یک پیمانکار برای CISA – آژانس امنیت سایبری و زیرساخت ایالات متحده – به مدت شش ماه اعتبارنامه‌های مدیریتی را در یک مخزن عمومی GitHub افشا کرد. این افشا شامل نام‌کاربری و رمزعبورهای متنی برای سیستم‌های داخلی و کلیدهای SSH بود.

این حادثه ارزش تأمل دارد زیرا CISA به طور خاص همان آژانسی است که مسئول هماهنگی پاسخ ملی به حوادث سایبری است. افشا مشکلی را نشان می‌دهد که سازمان‌ها را در هر سطحی تحت تأثیر قرار می‌دهد: انضباط مدیریت اسرار. اعتبارنامه‌هایی که در version control commit می‌شوند یکی از رایج‌ترین و قابل پیشگیری‌ترین بردارهای نقض هستند. ابزارهایی مانند secret scanning گیت‌هاب، HashiCorp Vault و AWS Secrets Manager دقیقاً برای جلوگیری از این نوع خطا وجود دارند. شکست در اینجا فنی نبود – فرایندی بود.

Ransomware-as-a-Service: اخاذی سه‌گانه اکنون استاندارد است

حمله گروه Krybit به اداره کلانشهر بانکوک و حمله گروه Nitrogen به Foxconn هر دو از یک مدل پیروی می‌کنند که محققان امنیتی اکنون اخاذی سه‌گانه می‌نامند: رمزگذاری فایل‌ها برای باج‌گیری، خارج کردن داده‌ها برای تهدید به افشای دوم، و تهدید به اطلاع‌رسانی به مشتریان و رگولاتورها به عنوان سومین نقطه فشار. این مدل باج‌افزار را از نظر اقتصادی مقاوم می‌کند – حتی سازمان‌هایی که پشتیبان‌گیری خوبی دارند، صرف نظر از توانایی بازیابی عملیات، با تهدید نشت داده مواجه هستند.

هشدار FLASH FBI در می 2026 درباره گروه Silent Ransom (SRG) ابعادی را اضافه می‌کند که اکثر سازمان‌ها برای آن آماده نیستند: عاملان فیزیکی. پس از شکست تلاش‌های اولیه فیشینگ، SRG به فرستادن نمایندگان فیزیکی به مکان‌های هدف روی آورده است – اساساً یک کمپین مهندسی اجتماعی ترکیبی سایبری-فیزیکی. این یک تشدید تهدید قابل توجه است که سازمان‌ها را ملزم می‌کند فراتر از کنترل‌های امنیتی صرفاً دیجیتال فکر کنند.

پنج گام عملی برای می 2026

1. فوراً zero-dayهای ویندوز را patch کنید. YellowKey و GreenPlasma می‌توانند BitLocker را دور بزنند. هر سیستم patch نشده در معرض افزایش دسترسی توسط هرکسی با دسترسی فیزیکی یا از راه دور است.

2. دسترسی Okta (و سایر SSO) خود را حسابرسی کنید. حمله vishing به ADT موفق شد زیرا یک حساب SSO به خطر افتاده درهای زیادی را باز کرد. برای تمام دسترسی‌های SSO از MFA مقاوم در برابر فیشینگ (FIDO2/passkeys) استفاده کنید. SMS OTP کافی نیست.

3. یک اسکن اسرار در تمام مخازن اجرا کنید. از GitHub Advanced Security یا یک ابزار معادل برای شناسایی هرگونه اعتبارنامه یا کلید commit شده در version control استفاده کنید. همه را فوراً تغییر دهید و هر افشایی را به عنوان نقض شده تلقی کنید.

4. کد تولید شده توسط هوش مصنوعی را از نظر کنترل‌های امنیتی بررسی کنید. اگر تیم شما از Copilot، Cursor یا ابزارهای مشابه برای نوشتن کد برنامه استفاده می‌کند، قبل از استقرار یک گیت بررسی امنیتی صریح اضافه کنید. در هر مؤلفه تولید شده توسط هوش مصنوعی، احراز هویت، مجوزدهی، اعتبارسنجی ورودی و افشای داده را بررسی کنید.

5. کارمندان را روی vishing آموزش دهید، نه فقط phishing. حملات Carnival و ADT مبتنی بر مهندسی اجتماعی تلفنی بودند. کارمندان شما باید بدانند چگونه هویت را از طریق تلفن تأیید کنند و چه زمانی درخواست‌های غیرعادی را بررسی کنند، صرف نظر از اینکه تماس‌گیرنده چقدر قانونی به نظر می‌رسد.