التعمق في خرق شبكة إكسترانت أديداس

الصفحة الرئيسية

مدونات

التعمق في خرق شبكة إكسترانت أديداس

برايوكت كيه في

20 فبراير 2026

أعلن شخص ضار تحت الاسم المستعار 'LAPSUS-GROUP' المرتبط بمجموعة Scattered Lapsus$ Hunters أنه تمكن من استخراج حوالي 815,000 صف من البيانات من شبكة أديداس الخارجية. هذه البوابة المستندة إلى الويب محدودة وتستخدم من قبل الشركاء التجاريين والموردين والموزعين المرخصين. تمثلت الاختراق في كشف معلومات تعريف شخصية للعملاء بما في ذلك الأسماء الأولى والأخيرة، وعناوين البريد الإلكتروني، وكلمات المرور، وتواريخ الميلاد، ومعلومات الشركة، وحجم كبير من البيانات التقنية.

أكدت أديداس الاختراق، لكنها أضافت أنه لم ينشأ من بنيتها التحتية لتقنية المعلومات الأساسية. بدلاً من ذلك، ارتبط التغلغل بشريك ترخيص مستقل وموزع منتج محدد. هذه الكيان يعمل كطرف ثالث بأنظمة تقنية المعلومات الخاصة به مع مستوى معين من الوصول إلى بوابة أديداس المواجهة للشركاء.

شهدت أديداس مثل هذه الاختراقات في الماضي. في مايو 2025، أدى الوصول غير المصرح به إلى مزود خدمة عملاء طرف ثالث إلى تسرب تفاصيل الاتصال بعملاء أديداس. تزايد التحديات التي تواجهها الشركات بسبب الأطراف الثالثة باتت مصدر قلق، كما رأينا سابقًا في حالات اختراق نيسان ريد هات و حادثة الهجمات الإلكترونية لكوريا للطيران.

الحقائق الأساسية

السجلات المتضررة: حوالي 815,000 | ناقل الهجوم: الوصول إلى الشبكة الخارجية للطرف الثالث | الشخص الضار: LAPSUS-GROUP / Scattered Lapsus$ Hunters | أنواع البيانات: الأسماء، البريد الإلكتروني، كلمات المرور، تواريخ الميلاد، بيانات الشركة، البيانات التقنية | الحادثة المماثلة السابقة: مايو 2025 (مزود خدمة عملاء طرف ثالث) | بيانات إضافية معلن عنها: ~420 جيجابايت مرتبطة بالسوق الفرنسي

قبل أن نمضي قدمًا، لا تنس مراجعة منشور المدونة السابق لدينا حول “كيف يمكن أن تكون قاعات البلديات CIRCIA لحظة تحول للبنية التحتية الحيوية” هنا.

كيف حدث الاختراق؟ إعادة بناء مسار الهجوم

الشبكة الخارجية كسطح هجوم

الشبكة الخارجية، بطبيعتها، هي امتداد محكم لشبكة الشركة الداخلية مفتوحة حصريًا للأطراف الخارجية المعتمدة. في حالة أديداس، تم منح الشركاء المرخصين والموردين والموزعين حق الوصول إلى هذه البوابة بناءً على الحاجة. هذه البوابات ضرورية من الناحية التشغيلية لضمان تعاون أعمق. يحتاج الموردون، على سبيل المثال، إلى الوصول إلى كتالوجات المنتجات، أنظمة الطلبات، وبيانات اللوجستيات. يحتاج الموزعون إلى التغذية المتواصلة للمخزون في الوقت المناسب. يحتاج حاملو التراخيص إلى الوصول إلى الموارد التصميمية ووثائق الامتثال. تكمن المشكلة في أن كلما زاد عدد نقاط الوصول المقدمة للأطراف الخارجية، زاد حجم سطح الهجوم. يكون هذا السطح قويًا فقط بقدر قوة المشاركة الأضعف (أو ممارساتها الأمنية).

لم يتضمن الاختراق المزعوم منصة التجارة الإلكترونية لأديداس الموجهة للمستهلكين أو أي جزء من بيئتها الأساسية لتقنية المعلومات. بدلاً من ذلك، كانت نقطة دخول المهاجم هي بيئة تقنية المعلومات لمستخدم طرف ثالث الذي تم منحه الوصول المميز إلى شبكة أديداس الخارجية. هذا مثال تقليدي على ناقل الهجوم على سلسلة التوريد. لكن ليس من خلال ثغرة في البرامج كما يُرى بالمعنى التقليدي، بل من خلال إساءة استخدام الثقة. لم يكن على المهاجم اختراق أديداس بشكل مباشر. بدلاً من ذلك، كان عليه فقط أن يخترق شخصًا يمتلك بالفعل المفاتيح وأن يأخذها منه.

فهم تحركات Lapsus$: الهندسة الاجتماعية عبر الاستغلال

يرتبط المجموعة المسؤولة عن هذه الحادثة بالنهج الواسع لـ Lapsus$، ولديها سجل موثق جيدًا يفضل الهندسة الاجتماعية وسرقة بيانات الاعتماد في الماضي. تعتبر هذه المجموعة الهندسة الاجتماعية كاختصار مفضل على استغلال الثغرات التقنية من يوم الصفر. تشارك حملات Lapsus$ التاريخية بما في ذلك التسللات في Microsoft وOkta وNvidia وSamsung وUber قاسمًا مشتركًا. وهي غالباً ما تستهدف الأشخاص والعمليات بدلاً من نقاط الضعف في الشفرات البرمجية.

عادة ما يشمل نهج Lapsus$ واحداً أو أكثر من التكتيكات التالية: تبديل بطاقة ال SIM للاستيلاء على المصادقة المتنقلة، شراء أو إدخال بيانات الاعتماد من الداخلين والمقاولين الخارجيين، تجنيد الموظفين داخل المنظمات المستهدفة للوصول المباشر، استغلال الإرهاق من المصادقة المتعددة العوامل من خلال إشعارات الدفع المتكررة حتى يوافق المستخدم عن طريق الخطأ، والوصول إلى البوابات الداخلية غير الآمنة حيث يتيح إعادة استخدام بيانات الاعتماد من الاختراقات الأخرى نقطة دخول.

في حادثة أديداس، هذا هو السيناريو الأكثر احتمالاً (متوافق مع منهجية Lapsus$). سُرقت بيانات اعتماد شريك الطرف الثالث لشبكة أديداس الخارجية من خلال هجوم هندسة اجتماعية وتم استخدام هذه الاعتمادات للوصول إلى البوابة.

حيث قد فشلت الحوكمة

عندما يُمنح شريك طرف ثالث حق الوصول إلى شبكة خارجية، يتم تحديد العديد من الافتراضات الأمنية ضمنيًا. يُفترض أن يقوم الشريك بفرض مصادقة قوية، وحماية بيانات الوصول وعدم مشاركتها، وضمان أن بيئة تقنية المعلومات لديه تلبي الحد الأدنى من الأسس الأمنية، وأنه سيقوم بإخطار المؤسسة الرئيسية بأي حوادث أمنية تؤثر على أنظمتها.

في الغالبية العظمى من برامج الشراكة المؤسسية، تكون هذه الافتراضات في أفضل الأحوال طموحة وفي أسوأ الأحوال غافلة. غالبًا ما يوقع الشركاء على سياسات الاستخدام المقبول، لكن عدد قليل جداً من المؤسسات تقوم بالتحقق التقني المستمر لوضع الأمن لشركائها (حتى كجزء من تقييم المخاطر والأمن). شريك الترخيص لخط إنتاج معين ليس شركة للأمن السيبراني ونضج تكنولوجيا المعلومات لديهم، وصحة المصادقة، وجهود الاستجابة للحوادث قد تكون أقل بكثير مما يتوقع أن يحافظ عليه فريق الأمن الخاص بأديداس داخليًا.

ماذا تعني ادعاءات '420 جيجابايت للسوق الفرنسي'

ادعاء الجهة المهددة بالاحتفاظ بحوالي 420 جيجابايت من بيانات أديداس المتعلقة مباشرة بالسوق الفرنسي يستحق اهتمامًا منفصلاً. إذا تم تحديده كدقيق، فإن ذلك يشير إلى أن الاستخراج لم يكن سريعًا مثل الضربة والهروب. بل كان استخلاصًا طويل الأمد ومتعمدًا. عادة ما يتطلب استخراج البيانات من هذا النوع وصولاً مستمراً على مدى فترة طويلة. وهذا بدوره يشير إلى أن التغلغل قد يكون قد مر دون اكتشاف لأسابيع أو شهور داخل بيئة الطرف الثالث قبل اكتشاف الاختراق. كما أنه يثير التساؤل حول ما إذا كان لشبكة أديداس الخارجية آليات مراقبة خروج بيانات كافية للكشف عن أنماط نقل بيانات غير عادية من حسابات الشركاء.

الدروس للصناعة: ماذا يخبرنا اختراق أديداس

الدرس الأول: خطر الطرف الثالث لم يعد مجرد مخاوف ثانوية

أنفقت العديد من الشركات الكبيرة عقودًا في تعزيز حدودها وبعض الضوابط الداخلية. لكن الحدود فقدت إلى حد كبير. اليوم، الحلقة الأضعف في سلسلة أمان منظمة كبيرة لم تعد داخل المنظمة بل تكمن في سلسلة التوريد، ونظام الشركاء، وشبكة الموردين. أظهر تقرير التهديدات Shieldworkz باستمرار أن الاختراقات التي تشمل أطراف ثالثة هي من بين الأكثر شيوعًا والأكثر ضررًا. الحوادث المتتالية لأديداس المتعلقة بطرف ثالث في 2025 و2026 ليست شاذة بأي خيال. بل هي القاعدة للعديد من المؤسسات التي لم تضع إدارة المخاطر المتعلقة بأطراف ثالث كأولوية.

الدرس الثاني: الشبكات الخارجية أهداف مرتفعة القيمة وغالباً ما تكون غير محمية بشكل كافٍ

تجمع بوابات الشبكة الخارجية بين الوصول والبيانات لعشرات أو مئات الشركاء الخارجيين. إنها تجلس على الحدود الجوهرية بين بيئة محكومة من الشركة والوضعية الأمنية الأقل توقعًا لنظام الشركاء. ومع ذلك، تعاملة العديد من المنظمات الشبكات الخارجية كوسيلة راحة تقنية بدلاً من نظام ذو أهمية أمنية أو حتى بيئة ممتدة. متطلبات المصادقة غالباً ما تكون أضعف بكثير من الأنظمة الداخلية. لا يوجد مصادقة بعامل واحد أو مصادقة متعددة العوامل السابقة، لا تحقق في حالة الجهاز، لا توجد ضوابط وصول مبنية على الشذوذ، وتسجيل غير كافٍ. بالنسبة للمهاجم، يمكن أن تكون بيانات اعتماد الشريك المخترقة للوصول إلى الشبكة الخارجية أكثر قيمة من التغلغل المباشر، لأنها تأتي موثقة مسبقًا مع فرص أقل للاكتشاف.

الدرس الثالث: المصادقة المتعددة العوامل وحدها غير كافية ضد الهندسة الاجتماعية الحديثة

في نواحٍ كثيرة، فاعلية مجموعة Lapsus$ رغم اعتماد الصناعة الواسع للمصادقة المتعددة العوامل (MFA) هي دعوة للتصرف. يمكن هزيمة المصادقة المؤتمدة على إشعارات الدفع، وكودات التنبيه الموحدة عبر الرسائل القصيرة، وحتى الرموز المؤقتة القائمة على الوقت (TOTP) عبر الهندسة الاجتماعية. يمكن القيام بذلك إما عن طريق خداع المستخدمين للموافقة على طلبات الدفع الضارة، عن طريق اعتراض OTP من خلال تبديل بطاقة الـ SIM، أو عبر بروكسيات التصيد في الوقت الفعلي التي تكشف الاعتمادات كما يدخلها الضحية. لا يمكن للمصادقة المقاومة للتصيد والتي تعتمد على مفاتيح الأمان المادية (FIDO2/WebAuthn) أو رموز المرور مواجهة هذه التقنيات. المؤسسات التي تدير بوابات الشبكة الخارجية باستخدام الرسائل القصيرة أو المصادقة المستقبلية يجب أن تعالج هذه البوابات كمخاطر نشطة ينبغي التعامل معها.

الدرس الرابع: تقليل البيانات هو تحكم أمني وليس مجرد مطلب امتثال

يتضمن الاختراق المزعوم كشف تواريخ الميلاد، وكلمات المرور، وبيانات الشركة، وما وصفه الشخص المهدد بأنه 'بيانات تقنية كبيرة'. بعض هذه المعلومات يطرح أسئلة فورية حول الضرورة. لماذا يتم تخزين كلمات المرور بتنسيق يمكن الخروج كبيانات قابلة للقراءة؟ يجب أن تكون كلمات المرور المشفرة باستخدام bcrypt، Argon2، أو scrypt مستحيلة حاسوبيًا عكسها في أي فترة زمنية مفيدة عمليًا. إذا تم اختراق كلمات المرور في شكل قابل للاستخدام، فإن ذلك يشير إلى إما ممارسات تشفير غير كافية أو أن ما تم الوصول إليه كان ذاكرة بيانات الاعتماد وليس مخزن كلمات مرور مؤمنًا بشكل صحيح. بالإضافة إلى ذلك، وجود تواريخ الميلاد في مجموعة بيانات الشبكة الخارجية المواجهة للشريك يثير السؤال: هل كانت هذه البيانات ضرورية للعلاقة مع الشريك، أم تم الاحتفاظ بها بعد انتهاء الغرض منها؟

الدرس الخامس: نمط الحوادث بين الطرف الثالث يشير إلى فجوة هيكلية

يعتبر اختراق طرف ثالث حادثًا. يعتبر اختراقان لطرف ثالث في غضون تسعة أشهر نمطًا. يشترك اختراق مايو 2025 لمقدم خدمة العملاء وخلال فبراير 2026 في نفس السبب الجذري الهيكلي: لم يمنع حوكمة الأمان للطرف الثالث لأديداس أي منهما. لا يعني هذا أن أمان أديداس الداخلي ضعيف. بل يعني أن الضوابط الأمنية المطبقة على العلاقات عبر parties لم تكن كافية. الدرس للمؤسسات الكبيرة الأخرى هو أن مراجعة وضع الأمان الخاص بك غير كافية. يجب عليك مراجعة وضع الأمان لكل من يتعامل مع بياناتك.

كيف يتم منعه: إطار عمل للممارسين

إدارة المخاطر المتعلقة بالطرف الثالث: الانتقال من التقارير الورقية إلى التحقق التقني

لا تزال معظم برامج إدارة المخاطر للطرف الثالث قائمة على استبيانات التقارير الذاتية. يملأ أحد الشركاء نموذج تقييم الأمن سنويًا والنتيجة تُحفظ. هذا النهج غير كافٍ بطبيعته لأنه يعتمد على التقارير الذاتية بالكامل ويستظهر لمحة زمنية واحدة. يتطلب التصحيح التحول إلى إدارة المخاطر للطرف الثالث المستمرة والمبنية على الأدلة.

• اطلب توثيقًا تقنيًا، وليس مجرد إقرار بالسياسة: اطلب نتائج اختبار اخترق، وتقارير فحص الضعف، وشهادات SOC 2 / ISO 27001 وقم بمراجعتها.

• صنف شركاءك حسب مستوى الوصول وحساسية البيانات: يستحق الشريك الذي لديه وصول خارجي لبيانات المنتج مستوى مراقبة أعلى من شريك التسويق. قم بتطبيق ضوابط محددة للنطاق.

• استخدم منصات استخبارات مخاطر الإنترنت لمراقبة الوضع الأمني الخارجي للشركاء الذين يمتلكون حقوق وصول مرتفعة. يجب أن يثير الشريك الذي يظهر أن بنيته الأساسية للإعداد علامات على اختراق إشعار مراجعة الوصول الفوري.

• الزم بالإفشاء عن الحوادث بإطار زمني ضمن العقد: إذا تعرضت أنظمة الشريك للاختراق، يجب أن تُعلمك خلال 24-48 ساعة، وليس أسابيع. اجعل ذلك شرطًا تعاقديًا ملزمًا مع تبعات محددة لعدم الإفصاح.

تأمين نموذج المصادقة على الشبكة الخارجية

يجب أن لا تحتوي البوابات المواجهة للشركاء على مصادقة أضعف من أنظمة الموظفين الداخلية. في العديد من المؤسسات، يكون العكس صحيحًا. يجب أن تكون الضوابط التالية غير قابلة للتفاوض لأي شبكة خارجية تحتوي على معلومات حساسة:

• طبق استخدام مفاتيح الأمان مادية FIDO2/WebAuthn أو رموز المرور لجميع حسابات الشركاء، وليس رسائل التنبيه أو إشعارات الدفع.

• قم بتطبيق الوصول المشروط أو المصادقة التكيفية: ارفض تسجيل الدخول من المناطق الجغرافية غير المتوقعة، الأجهزة غير المعترف بها، أو خارج ساعات العمل إذا لم يتم التحقق منها.

• تحقق من حالة الجهاز عند تسجيل الدخول: يجب على الشركاء الذين يصلون إلى الوظائف الحساسة للشبكة الخارجية البحث عن إدارة أجهزتهم أو تصديقها، وليس من خلال الأجهزة الشخصية العشوائية.

• تطبق سياسية انتهاء الجلسة والحد من انعقاد الجلسات المتزامنة: يجب أن تكون الجلسة النشطة التي لم يتم مراقبتها لساعات باباً مفتوحاً.

• قم بتنفيذ توفير الوصول الفوري عند الطلب (JIT): الأنشطة يجب أن تكون نشطة فقط خلال النوافذ التشغيلية المحددة، وليس ثابتة 24/7.

أداة شبكة خارجية للكشف عن الشذوذ

يترك المهاجم الذي يقوم باستخراج 815,000 صف من البيانات أو 420 جيجابايت من بوابة توقيعات سلوك. انحرافات حجم نقل البيانات، توقيت، أنماط البحث، وتسلسلات الوصول المرتبطة بالتهريب الجماعي يمكن اكتشافها بشكل مختلف عن أنشطة الشركاء العادية. ومع ذلك، يتم اكتشاف ذلك فقط إذا كانت المعلومات التحليلية المناسبة يتم جمعها وتحليلها.

• سجل كل الأحداث الوصولية عند مستوى الشبكة الخارجية: من الذي تمت مصادقة، من أين، ما الذي تم الوصول إليه، كم البيانات التي تم نقلها، ومتى.

• ضع معايير سلوكيات شهرية لكل حساب شريك وأطلق تنبيهات في حالة حدوث انحراف: موزع يزور عادة 50 سجل يوميًا لا يجب أن يكون قادرًا على سحب 800,000 سجلاً بصمت.

• قم بدمج سجلات الشبكة الخارجية مع النظام المشرف على المعلومات الأمنية للأحداث (SIEM) وضع قواعد للقراءة وفهم نشاط المستخدم والكيان (UEBA) معدة خصيصًا لأنماط إساءة استخدام بوابة الشريك.

• أدوات مثل Shieldworkz، التي تقدم الكشف عن الشذوذ، والتحليل الذاني، والتخفيف السريع من المخاطر تنطبق مباشرة هنا لتمكين الكشف عن أنواع السلوكيات المفاجئة، المرتفعة الحجم، أو المجهولة التي تتميز بالتسلط المستقنيمجموعة بيانات كبيرة.

• تنفيذ قيود منع فقدان البيانات (DLP) عند طبقة واجهة برمجة التطبيقات وتصدير البيانات: تحديد حجم التنزيل المفرد، طلب التبرير لطلبات البيانات الجماعية، وفرض التحجيم المحدود.

اعتمد مبدأ الوصول الأقل

يجب أن يتمتع كل حساب شريك في الشبكة الخارجية بالحد الأدنى من البيانات الضرورية لوظيفتهم التجارية المحددة. يبدو هذا بديهيًا، ولكنه غالبًا ما يتم انتهاكه واقعياً لأن الإعداد العام أسهل وتوليد شكاوى تشغيلية أقل احتمالاً.

• قم بتخطيط وظيفة كل شريك التجاري لنطاق وصول بيانات محدد وفرضه تقنيًا، وليس فقط عن طريق السياسة.

• فصل الصلاحيات الصريحة للأذونة والقراءة: يجب ألا يمتلك موزع التحقق من المخزون الوصول إلى معلومات تعريف العميل الشخصي.

• قم بتدقيق بيانات الوصول لجميع حسابات الشركاء على الأقل ربع سنويًا وفور حدوث أي تغيير في علاقة الشريك.

• قم بإزالة الوصول فور انتهاء العقد، أو تغييرات الموظفين في منظمة الشريك، أو أي دلالة على اختراق الأمان في الشريك.

إصلاح مشاكل صحة كلمة المرور ومعلومات تحديد الهوية الشخصية (PII)

يعتبر تسرب كلمات المرور في تنسيق يبدو أنه قابل للاستغلال فشل أمني جوهري يجب معالجته بغض النظر عن أصول الاختراق.

• دقق جميع مخازن الاعتمادات: تأكد من أن كلمات المرور مشفرة بخوارزمية حديثة تكيفية.

• حرّض سياسات دوران كلمة المرور والتفرد لجميع حسابات الشركاء.

• تطبيق مبادئ تقليل البيانات على كل البيانات المواجهة للشركاء: إذا لم يكن هناك حقل ضرورياً تشغيلياً، فلا تجمعه أو تحتفظ به. تعرض بيانات الميلاد في بوابة B2B شريكة هو علامة بسرعة عن جمع بيانات غير ضرورية.

• قم بتشفير الحقول الحساسة عند الراحة عند مستوى الحقل، وليس فقط عند مستوى قاعدة البيانات، حتى لا يؤدي تحميل قاعدة البيانات إلى كشف بيانات حساسة كنص غير مشفر.

بناء دليل استجابة لحوادث الطرف الثالث

معظم المنظمات لديها خطط الاستجابة للحوادث لبيئتها الخاصة. قلة قليلة منها لديها دليل مُختبر لحوادث الطرف الثالث التي، كما توضح هذه الحالة، لها ديناميات تحقيق واستجابة مختلفة جوهريًا. لا تملك التحكم في البيئة المخترقة. لا يمكنك تنفيذ تحقيقات جنائية على خوادم شركائك. أنت تعتمد على تعاونهم وصدقهم.

• حدد إجراء استجابة الحوادث الأمنية للطرف الثالث: من هو الذي يتلقى إشعار داخليًا، وكيف يتم تعليق وصول الشريك، وكيف يتم تحديد نطاق تعرض البيانات، وكيف يتم التحكم بالجوانب المتضررة.

• وضع بروتوكولات الاتصالات المسبقة مع الشركاء ذوي الخطورة العالية لأهمية التصعيد.

• تنفيذ تماري الطاولة التي تحاكي سيناريو تسلل نشأ من شريك بشكل خاص - وليس مجرد توغل مباشر.

• صيانة سجل الوصول للشركاء الذي يمكن استخدامه فوراً لعزل جميع الحسابات والأذونات المرتبطة بالشريك المقرصن.

لم يكن اختراق شبكة أديداس الخارجية قصة فشل جدار حماية أو ثغرة غير مصححة. إنها قصة ثقة. تحديداً، الافتراضات الأمنية التي تصنعها الشركات الكبيرة حول الشركاء الذين يمنحونهم حق الوصول إلى أنظمتهم. في بيئة تجارية متصلة بقوة، يمتد سطح هجومك إلى كل طرف ثالث يتعامل مع بياناتك، بواباتك، وأنظمتك.

أظهرت مجموعة Lapsus$ والمجموعات المرتبطة بها مراراً أن الضوابط التقنية وحدها غير كافية ضد هندسة اجتماعية تنفذ بعناية. المنظمات التي ستنجو بشكل أفضل في هذا المشهد التهديدي هي تلك التي تجمع بين حوكمة أمن الطرف الثالث الدقيقة، والمصادقة المقاومة للتصيد، والرصد السلوكي المستمر، والتواضع التنظيمي للاعتراف بأن أمانها قوي فقط بقدر قوة الشريك الأقل أماناً في منظومتها.

بالنسبة لأديداس، يجب أن تكون الأولوية الفورية هي مراجعة شاملة لكل العلاقات الشريكة بالوصول للطرف الثالث، وليس فقط الشبكة الخارجية، بل كل بوابة وواجهة برمجة تطبيقات مواجهة للشريك. تتطلب نمط الحوادث استجابة هيكلية وليس مجرد إصلاح تفاعلي.

تحدث إلى Shieldworkz للحصول على تدقيق شامل للمخاطر والأمن

الأصول القابلة للتنزيل

قائمة التحقق من التشغيل الأمني للأمن السيبراني لـ OT / ICS

تقرير حالة الأمان السيبراني

التنفيذ الاستراتيجي لـ ISA/IEC 62443-3-2

تعزيز الأمان السيبراني والمرونة للأجهزة التشغيلية لمقدم خدمات رئيسي