هشاشة الأمن الإلكتروني.. الهاكر على بُعد نقرة

13 يونيو 2016
لا يُمكن حماية أي نظام بشكل مطلق (Getty)
+ الخط -
يظنّ مستخدمو الحسابات الإلكترونيّة على المنصّات المختلفة أنّهم بأمان لأمرين: الأول هو استخدامهم كلمة سرّ قويّة، وتفعيل خاصيّة Two-factor authentication، أي التوثيق عبر عاملين، باستخدام أكواد ترسل إلى هواتفهم بجانب كلمات السرّ، أو، ثانياً، لاعتبارهم أن لا أحد مهتمّاً بحساباتهم وبالتالي اختراقها، لاستخدامها لأسباب ترفيهيّة. 

لكنّ الأسبوعين الأخيرين يُثبتان، أكثر من أيّ وقت مضى، أنّ هاتين الحالتين باتتا سراباً، فلا شيء اسمه أمن إلكتروني، وليس بالضرورة للشخص أن يكون فاعلاً أو مشهوراً كي يتمّ اختراقه.

وتثبت هذه الأخيرة بالنظر إلى حادثة تسريب أكثر من 32 مليون كلمة سر لمستخدمي "تويتر" وعرضها للبيع على "الإنترنت" المُظلم، بحسب ما أعلنت مدونة LeakedSource الأسبوع الماضي، والتي كانت من نفس الهاكر الذي سرّب بيانات موقع VK، أضخم منصة تواصل في روسيا منذ أسبوعين.
في هذه الحالة، لم يتم اختراق خوادم "تويتر" نفسه، إنما تم إرسال فيروس malware لعشرات ملايين المستخدمين، ما تسبب في تسجيل كلمات السر الخاصة بهم وبيانات أخرى وإرسالها للهاكر. ومع أنّ كلمات سرّ ضعيفة ظهرت جلياً في هذا التسريب، إلا أنّ قوة الكلمات من عدمها لم تكُن عاملاً في إتمام العمليّة.

وليس "تويتر" نجم الساحة الوحيد في القرصنة، ففي الفترة الأخيرة، تم الإعلان عن قرصنة منصة MySpace ونشر بيانات 360 مليون حساب، ما يُعتبر الخرق الأكبر في العالم، بالإضافة إلى نشر بيانات "لينكد إن" الذي تمت قرصنته عام 2012، وقرصنة VK الروسي.

وقبل الإعلان عن التسريب المتعلق بـ"تويتر"، اخترق قراصنة من فريق أطلق على نفسه اسم OurMine حسابي مؤسس "فيسبوك"، مارك زوكربيرغ، على "تويتر" و"بينتريست" باستخدام كلمة السر السيئة التي استخدمها وتم تسريبها ضمن عملية "لينكد إن". ثم تم اختراق حساب أحد مؤسسي موقع "تويتر"، إيفان ويليامز، الأربعاء الماضي، عبر نفس فريق القراصنة، بعدما استولوا على حسابه على "فورسكوير" ومن هناك أرسلوا تغريدات.

أما يوم الجمعة الماضي، فتم اختراق حساب أحد أبرز الناشطين الأميركيين في حملة "black lives matter" ديراي ماكيسون على "تويتر". وفي هذه العملية، تم إرسال تغريدات تتبنى ترشيح دونالد ترامب للرئاسة من حساب ديراي، المدافع عن حقوق ذوي البشرة السوداء في الولايات المتحدة. وجاءت العملية بعدما استطاع القراصنة السيطرة على شريحة هاتف ديراي نفسها، عبر الاتصال بشركة الهاتف التي يتعامل معها وانتحال شخصيّته، وتحويل الرقم.
وبهذه العمليّة، وصل القراصنة إلى كلّ الأكواد عبر استخدام نظام الحماية على مرحلتين، وغيّروا كلمات السرّ المتعلقة بحسابات "تويتر" وبريدين إلكترونيين، بالإضافة إلى شريحة هاتفه نفسها، بحسب ما روى ديراي على حسابه على "تويتر" بعد استعادته.




ليس هذا فقط، بل نقل الناشط أليكس ماككاو على حسابه على "تويتر" رسالةً وصلته على رقم هاتفه، تُشير إلى أنّ "شركة غوغل وجدت عملاً مشتبهاً به بالدخول إلى حسابه على جيميل"، وطلبت الرسالة من أليكس إرسال كلمة سرّه وكود الهاتف ليتم إيقاف حسابه فوراً بسبب العمل المشبوه. وإذا أرسل المستخدم ما تطلبه الرسالة، يكون بهذه الحالة قد أعطى القراصنة كلمة سرّه على طبق من فضة، وبالتالي تغيير كلمة سرّه والسيطرة على حساباته الأخرى المرتبطة بالبريد الإلكتروني.

لم تعُد عمليّة الحماية عبر مرحلتين كافية إذن، فأصبح من الضروري، إضافةً إليها، الاحتفاظ بكلمة سرّ قوية لكل حساب وتبديلها كل فترة، وعدم التعامل مع أي جهة مشبوهة أو الضغط على روابط غير موثوقة... فالهاكر على بُعد نقرة.
المساهمون