تعرض حساب (جاك دورسي) Jack Dorsey المؤسس والرئيس التنفيذي لشركة تويتر للاختراق، حيث نشر المخترق مجموعة تغريدات شملت إهانات عنصرية وتأييد للنازية، وقد استمرت التغريدات نحو 15 دقيقة، قبل أن تحذفها تويتر.
قالت شركة تويتر في تغريدة: “إن رقم الهاتف المرتبط بالحساب قد اُخترق بسبب خطأ أمني من قِبل الشركة المزودة لخدمات الهاتف المحمول، وهذا سمح للمخترق بإنشاء وإرسال تغريدات عبر الرسائل النصية القصيرة SMS من رقم الهاتف”.
من المحتمل أن يكون دورسي ضحية للعملية الاحتيالية المعروفة باسم مبادلة بطاقة SIM أو ما بات يعرف في الأوساط المختصة باسم SIM swap، أو SIM splitting -، وهي ممارسة يقوم فيها أحد المتسللين برشوة أو إقناع موظف شركة الهاتف المحمول بتبديل رقم الهاتف إلى جهاز المتسلل.
بمجرد تحكم المُخترق في رقم دورسي، استغل أحد الميزات القديمة بالمنصة وهيTweet via text message، التي تديرها خدمة Cloudhopper، وهي خدمة استحوذت عليها تويتر في عام 2010 لتحسين خدمة الرسائل النصية القصيرة.
باستخدام Cloudhopper؛ يمكن لمستخدمي تويتر نشر التغريدات عن طريق إرسال رسائل نصية إلى رقم 40404. حيث لا يتطلب النظام سوى ربط رقم هاتفك بحسابك على تويتر، – وهو ما يفعله معظم المستخدمين بالفعل لأسباب أمنية منفصلة – نتيجةً لذلك عادة ما تكون السيطرة على رقم هاتفك كافية لنشر التغريدات على حسابك، وليس لدى معظم المستخدمين أي فكرة.
بالنظر للمدة الزمنية التي استمر فيها اختراق الحساب سنجد أنها مدة بسيطة، إلا أن الحادث كان بمثابة تذكير بأوجه الضعف الخطيرة في المنصة، والتي وصلت إلى الحسابات ذات المستوى الأعلى، وإلى أي مدى أصبحت المصادقة على الهاتف غير آمنة. لذلك إذا كنت تستخدم تويتر، يجب عليك التأكد من أن حسابك آمن قدر الإمكان.
فيما يلي كيفية تأمين حسابك على تويتر:
1- تفعيل ميزة المصادقة الثنائية:
من الجيد دائماً تشغيل المصادقة الثنائية 2FA، كخطوة تحقق إضافية لتأكيد هويتك بالإضافة إلى كلمة المرور العادية. ولكن حتى المصادقة الثنائية لن تفيد في حال من اختراق بطاقة SIM.
لحسن الحظ؛ يوفر تويتر عدة طرق لتأكيد الهوية أكثر أماناً منها:
من أفضل الخطوات استخدام تطبيق الهاتف (Google Authenticator)، والذي سيوفر لك رموز لتأكيد الهوية يصعب على المتسلل الوصول إليها لأنه لابد أن يصل إلى هاتفك فعلياً.
أو استخدام مفتاح أمان فعلي، وهو عبارة عن قطعة صغيرة من الأجهزة يمكنك شراؤها بشكل منفصل تنشئ رموز أمان. وسيحتاج المتسلل إلى سرقة هذا المفتاح ليتمكن من الوصول إلى حسابك.
2- تغيير رقم الهاتف المرتبط بحساب تويتر:
تعتبر الطريقة الوحيدة المتاحة حالياً لإيقاف القدرة على استخدام الرسائل النصية لإرسال تغريدات إلى حسابك هي حذف رقم هاتفك من تويتر تماماً. ولكن القيام بذلك سيؤدي إلى تعطيل ميزة المصادقة الثنائية في حسابك.
لذلك يمكنك استبدال رقم هاتفك برقم هاتف افتراضي مجهول لإخفاء رقمك الحقيقي، حيث لا يتم إدارة هذا الرقم بواسطة شركة اتصالات، وليس هناك أي شخص يمكن للمتسلل التحدث إليه لمساعدته على التحكم في رقمك.
إذا كنت في الولايات المتحدة؛ يمكنك استبدال رقم هاتفك برقم يمكنك إنشاؤه بواسطة خدمة Google Voice ، وأي شخص خارج الولايات المتحدة سيحتاج إلى إيجاد خدمة بديلة مثل: Virtual Phone وهي خدمة توفر أرقاماً محلية وأخرى مجانية افتراضية في أكثر من 120 دولة.
البوابة العربية للأخبار التقنية