تعرض حساب جاك دورسي Jack Dorsey المؤسس والرئيس التنفيذي لشركة تويتر للاختراق مساء الجمعة الماضي، حيث نشر المخترق مجموعة تغريدات شملت إهانات عنصرية وتأييدا للنازية. وقد استمرت التغريدات نحو 15 دقيقة، قبل أن تحذفها تويتر.
كيف اختُرق حساب جاك دورسي؟
قالت شركة تويتر في تغريدة إن "رقم الهاتف المرتبط بالحساب قد اختُرق بسبب خطأ أمني من قِبل الشركة المزودة لخدمات الهاتف المحمول، وهذا سمح للمخترق بإنشاء وإرسال تغريدات عبر الرسائل النصية القصيرة SMS من رقم الهاتف".
ومن المحتمل أن يكون دورسي ضحية للعملية الاحتيالية المعروفة باسم مبادلة بطاقة SIM – أو ما بات يعرف في الأوساط المختصة باسم SIM swap، أو SIM splitting -، وهي ممارسة يقوم فيها أحد المتسللين برشوة أو إقناع موظف شركة الهاتف المحمول بتبديل رقم الهاتف إلى جهاز المتسلل.
وبمجرد تحكم المُخترق في رقم دورسي، استغل أحد الميزات القديمة بالمنصة وهي Tweet via text message، التي تديرها خدمة Cloudhopper، وهي خدمة استحوذت عليها تويتر عام 2010 لتحسين خدمة الرسائل النصية القصيرة.
وباستخدام Cloudhopper، يمكن لمستخدمي تويتر نشر التغريدات عن طريق إرسال رسائل نصية إلى رقم 40404، حيث لا يتطلب النظام سوى ربط رقم هاتفك بحسابك على تويتر – وهو ما يفعله معظم المستخدمين بالفعل لأسباب أمنية منفصلة – نتيجة لذلك عادة ما تكون السيطرة على رقم هاتفك كافية لنشر التغريدات على حسابك، وليس لدى معظم المستخدمين أي فكرة.
وبالنظر للمدة الزمنية التي استمر فيها اختراق الحساب سنجد أنها مدة بسيطة، إلا أن الحادث كان بمثابة تذكير بأوجه الضعف الخطيرة في المنصة، والتي وصلت إلى الحسابات ذات المستوى الأعلى، وإلى أي مدى أصبحت المصادقة على الهاتف غير آمنة. لذلك إذا كنت تستخدم تويتر، يجب عليك التأكد من أن حسابك آمن قدر الإمكان.
فيما يلي كيفية تأمين حسابك على تويتر:
1- تفعيل ميزة المصادقة الثنائية
من الجيد دائماً تشغيل المصادقة الثنائية 2FA، كخطوة تحقق إضافية لتأكيد هويتك، بالإضافة إلى كلمة المرور العادية. ولكن حتى المصادقة الثنائية لن تفيد في حال من اختراق بطاقة SIM. لحسن الحظ، يوفر تويتر عدة طرق لتأكيد الهوية أكثر أماناً:
- من أفضل الخطوات استخدام تطبيق الهاتف (Google Authenticator)، والذي سيوفر لك رموز لتأكيد الهوية يصعب على المتسلل الوصول إليها لأنه لا بد أن يصل إلى هاتفك فعلياً.
- أو استخدام مفتاح أمان فعلي، وهو عبارة عن قطعة صغيرة من الأجهزة يمكنك شراؤها بشكل منفصل تنشئ رموز أمان. وسيحتاج المتسلل إلى سرقة هذا المفتاح ليتمكن من الوصول إلى حسابك.
2- تغيير رقم هاتفك المرتبط بحساب تويتر
تعتبر الطريقة الوحيدة المتاحة حالياً لإيقاف القدرة على استخدام الرسائل النصية لإرسال تغريدات إلى حسابك هي حذف رقم هاتفك من تويتر تماماً. ولكن القيام بذلك سيؤدي إلى تعطيل ميزة المصادقة الثنائية في حسابك.
لذلك يمكنك استبدال رقم هاتفك برقم هاتف افتراضي مجهول لإخفاء رقمك الحقيقي، حيث لا يتم إدارة هذا الرقم بواسطة شركة اتصالات، وليس هناك أي شخص يمكن للمتسلل التحدث إليه لمساعدته على التحكم في رقمك.
إذا كنت في الولايات المتحدة، يمكنك استبدال رقم هاتفك برقم يمكنك إنشاؤه بواسطة خدمة Google Voice، وأي شخص خارج الولايات المتحدة سيحتاج إلى إيجاد خدمة بديلة مثلVirtual Phone وهي خدمة توفر أرقاماً محلية وأرقاماً مجانية افتراضية في أكثر من 120 دولة.