تسريب كلمات المرور يكشف عن معلومات حساسة في Paradox.ai

كشف الباحثون الأمنيون مؤخرًا عن تسريب المعلومات الشخصية لملايين الأشخاص الذين تقدموا لوظائف في McDonald’s بعد أن تمكنوا من تخمين كلمة المرور ("123456") لحساب سلسلة الوجبات السريعة في Paradox.ai، وهي شركة تصنع روبوتات المحادثة المعتمدة على الذكاء الاصطناعي المستخدمة من قبل العديد من الشركات الكبرى. أكدت Paradox.ai أن هذا الخطأ الأمني كان حادثًا معزولًا ولم يؤثر على عملائها الآخرين، لكن الحوادث الأمنية الأخيرة التي تتعلق بموظفيها في فيتنام تروي قصة أكثر تعقيدًا.

لقطة شاشة لصفحة Paradox.ai الرئيسية تُظهر روبوت المحادثة الذكي "Olivia" يتفاعل مع المرشحين المحتملين.

في وقت سابق من هذا الشهر، كتب الباحثون الأمنيون Ian Carroll وSam Curry عن طرق بسيطة وجدوا أنها تتيح الوصول إلى الواجهة الخلفية لمنصة روبوت المحادثة على McHire.com، الموقع الذي يستخدمه العديد من أصحاب الامتياز في McDonald’s لتصفية طلبات التوظيف. وكما تم الإبلاغ عنه لأول مرة من قبل Wired، اكتشف الباحثون أن كلمة المرور الضعيفة المستخدمة من قبل Paradox كشفت عن 64 مليون سجل، بما في ذلك أسماء المتقدمين وعناوين البريد الإلكتروني وأرقام الهواتف.

أقرت Paradox.ai بنتائج الباحثين لكنها قالت إن حسابات عملائها الآخرين لم تتأثر، وأنه لم يتم الكشف عن أي معلومات حساسة — مثل أرقام الضمان الاجتماعي.

"نحن واثقون، بناءً على سجلاتنا، أن هذا الحساب التجريبي لم يتم الوصول إليه من قبل أي طرف ثالث غير الباحثين الأمنيين"، كتبت الشركة في منشور مدونة بتاريخ 9 يوليو. "لم يتم تسجيل الدخول إليه منذ عام 2019، وبصراحة، كان يجب أن يتم إيقافه. نريد أن نكون واضحين جدًا أنه بينما قد يكون الباحثون قد حصلوا على وصول مؤقت إلى النظام الذي يحتوي على جميع تفاعلات الدردشة (وليس طلبات العمل)، إلا أنهم قاموا فقط بعرض وتنزيل خمس محادثات إجمالاً تحتوي على معلومات مرشحين. مرة أخرى، لم يتم تسريب أي بيانات عبر الإنترنت أو جعلها عامة في أي وقت."

ومع ذلك، تُظهر مراجعة بيانات كلمات المرور المسروقة التي جمعتها خدمات تتبع الاختراق المتعددة أنه في نهاية يونيو 2025، تعرض مسؤول في Paradox.ai في فيتنام للاختراق بواسطة برامج ضارة على جهازه الذي سرق أسماء المستخدمين وكلمات المرور لمجموعة متنوعة من الخدمات الداخلية والخارجية. كانت النتائج غير مريحة.

تم سرقة بيانات كلمات المرور من مطور Paradox.ai بواسطة نوع من البرامج الضارة يُعرف باسم "Nexus Stealer"، وهو برنامج لسرقة كلمات المرور يُباع في المنتديات الإجرامية. المعلومات التي يتم جمعها بواسطة برامج مثل Nexus تُستعاد غالبًا وتُفهرس بواسطة خدمات تجميع تسريبات البيانات مثل Intelligence X، التي تُبلغ أن البرامج الضارة على جهاز مطور Paradox.ai كشفت عن مئات من كلمات المرور الضعيفة والمعاد تدويرها (تستخدم نفس كلمة المرور الأساسية ولكن مع تغييرات طفيفة في النهاية).

تظهر تلك الاعتمادات المسروقة أن المطور المعني استخدم في مرحلة ما نفس كلمة المرور المكونة من سبعة أرقام لتسجيل الدخول إلى حسابات Paradox.ai لعدد من الشركات الكبرى المدرجة كعملاء على موقع الشركة، بما في ذلك Aramark وLockheed Martin وLowes وPepsi.

تعتبر كلمات المرور المكونة من سبعة أحرف، خاصة تلك التي تتكون بالكامل من أرقام، عرضة جدًا لهجمات "القوة الغاشمة" التي يمكن أن تحاول عددًا كبيرًا من تركيبات كلمات المرور المحتملة بسرعة. وفقًا لدليل قوة كلمات المرور الذي تحتفظ به Hive Systems، يمكن أن تعمل أنظمة كسر كلمات المرور الحديثة على حل كلمة مرور مكونة من سبعة أرقام تقريبًا على الفور.

الصورة: hivesystems.com.

ردًا على الأسئلة من KrebsOnSecurity، أكدت Paradox.ai أن بيانات كلمات المرور سُرقت مؤخرًا بواسطة عدوى برمجيات ضارة على الجهاز الشخصي لمطور قديم في Paradox مقيم في فيتنام، وقالت إن الشركة تم إبلاغها بالاختراق بعد فترة وجيزة من حدوثه. تؤكد Paradox أن القليل من كلمات المرور المعرضة كانت لا تزال صالحة، وأن الغالبية منها كانت موجودة على جهاز الموظف الشخصي فقط لأنه نقل محتويات مدير كلمات المرور من جهاز كمبيوتر قديم.

كما أشارت Paradox إلى أنها تتطلب مصادقة تسجيل دخول موحد (SSO) منذ عام 2020 والتي تفرض المصادقة متعددة العوامل لشركائها. ومع ذلك، تُظهر مراجعة كلمات المرور المعرضة أنها شملت اعتمادات المسؤول إلى منصة SSO الخاصة بالشركة — paradoxai.okta.com. انتهت كلمة المرور لذلك الحساب في 202506 — ربما إشارة إلى شهر يونيو 2025 — وتقول ملفات تعريف الارتباط الرقمية التي تُركت بعد تسجيل دخول ناجح إلى Okta باستخدام تلك الاعتمادات إنها كانت صالحة حتى ديسمبر 2025.

كما تم الكشف عن اعتمادات المسؤول وملفات تعريف الارتباط الخاصة بالمصادقة لحساب على Atlassian، وهي منصة مصممة لتطوير البرمجيات وإدارة المشاريع. كانت تاريخ انتهاء صلاحية تلك الرمز المميز للمصادقة أيضًا ديسمبر 2025.

تعد إصابات برامج سرقة المعلومات من بين الأسباب الرئيسية للاختراقات والاعتداءات ransomware اليوم، وتؤدي إلى سرقة كلمات المرور المخزنة وأي اعتمادات يقوم الضحية بإدخالها في متصفح. تقوم معظم برامج سرقة المعلومات أيضًا بسحب ملفات تعريف الارتباط الخاصة بالمصادقة المخزنة على جهاز الضحية، واعتمادًا على كيفية تكوين تلك الرموز، قد يتمكن اللصوص من استخدامها لتجاوز مطالبات تسجيل الدخول و/أو المصادقة متعددة العوامل.

غالبًا ما تفتح إصابات برامج سرقة المعلومات بابًا خلفيًا على جهاز الضحية يسمح للمهاجمين بالوصول إلى الجهاز المصاب عن بُعد. في الواقع، يبدو أن الوصول عن بُعد إلى جهاز المسؤول في Paradox الذي تعرض للاختراق تم عرضه للبيع مؤخرًا.

في فبراير 2019، أعلنت Paradox.ai أنها أكملت بنجاح تدقيقات لمعيارين أمان شاملين (ISO 27001 و SOC 2 Type II). وفي الوقت نفسه، تقول إفصاح الأمان الخاص بالشركة هذا الشهر إن الحساب التجريبي الذي يحمل اسم المستخدم وكلمة المرور الفظيعة 123456 تم الوصول إليه آخر مرة في عام 2019، ولكنه somehow missed in their annual penetration tests. فكيف تمكنت من اجتياز مثل هذه التدقيقات الأمنية الصارمة مع وجود هذه الممارسات في مكانها؟

أخبرت Paradox.ai KrebsOnSecurity أنه في وقت تدقيق عام 2019، لم يكن يتم تحميل مقاوليها إلى نفس معايير الأمان التي تمارسها الشركة داخليًا. أكدت Paradox أن هذا قد تغير، وأنها قامت بتحديث متطلبات الأمان وكلمات المرور عدة مرات منذ ذلك الحين.

ليس من الواضح كيف أصيب مطور Paradox في فيتنام بجهازه بالبرامج الضارة، لكن مراجعة أقرب تجد أن جهاز Windows لموظف آخر في Paradox.ai من فيتنام تعرض للاختراق بواسطة برامج ضارة مشابهة في نهاية عام 2024 (تضمنت تلك الاختراق بيانات اعتماد GitHub الخاصة بالضحية). في حالة كلا الموظفين، تتضمن بيانات الاعتماد المسروقة سجلات متصفح الويب التي تشير إلى أن الضحايا قاموا مرارًا بتنزيل أفلام وبرامج تلفزيونية مقرصنة، والتي غالبًا ما يتم تجميعها مع البرامج الضارة المتنكرة على أنها ترميز فيديو مطلوب لمشاهدة المحتوى المقرصن.