بعد تعرض حساب الرئيس التنفيذي لشبكة تويتر جاك دورسي للاختراق مساء الجمعة الماضي، ونشر مجموعة تغريدات ضمت إهانات عنصرية وتأييداً للنازية، مدة 15 دقيقة، قبل أن تحذفها تويتر، يُطرح تساؤل عن كيفية حماية حساب تويتر من الاختراق؟
كيف أُخترق حساب جاك دورسي؟
قالت شركة تويتر في تغريدة: “إن رقم الهاتف المرتبط بالحساب أُخترق بسبب خطأ أمني من الشركة المزودة لخدمات الهاتف المحمول، ما سمح للمخترق بإنشاء وإرسال تغريدات عبر الرسائل النصية القصيرة SMS من رقم الهاتف”.
من المحتمل أن يكون دورسي ضحية احتيالية معروف باسم مبادلة بطاقة SIM، أو ما بات يعرف في الأوساط المختصة باسم SIM swap، أو SIM splitting، وفيها ينجح متسللين في رشوة أو إقناع موظف شركة الهاتف المحمول لتبديل رقم الهاتف إلى جهاز المتسلل.
وبعد تحكم المُخترق في رقم دورسي، استغل ميزة قديمة في المنصة “Tweet via text message”، التي تديرها خدمة Cloudhopper، التي استحوذت عليها تويتر في 2010 لتحسين خدمة الرسائل النصية القصيرة.
وباستخدام Cloudhopper؛ يمكن لمستخدمي تويتر نشر التغريدات بإرسال رسائل نصية إلى رقم 40404، ولا يتطلب النظام سوى ربط رقم الهاتف بالحساب على تويتر، وهو ما يفعله معظم المستخدمين بالفعل لأسباب أمنية منفصلة، ولذلك تكون السيطرة على رقم الهاتف كافية لنشر التغريدات على حساب أي شخص، وهو ما لا يعرفه معظم المستخدمين.
ورغم قصر المدة الزمنية التي تواصل فيها اختراق الحساب، إلا أن الحادثة تذكير بأوجه الضعف الخطيرة في المنصة، والتي وصلت إلى الحسابات ذات المستوى الأعلى، المصادقة ما يفرض على مستخدمي تويتر التأكد من أمان حساباتهم قدر الإمكان.
فيما يلي كيفية تأمين حساب على تويتر:
1- تفعيل ميزة المصادقة الثنائية:
من الجيد دائماً تشغيل المصادقة الثنائية 2FA، في خطوة تحقق إضافية لتأكيد هويتك بالإضافة إلى كلمة المرور العادية. ولكن حتى المصادقة الثنائية لن تفيد إذا كان الاختراق عبر بطاقة SIM.
لحسن الحظ، يوفر تويتر عدة طرق لتأكيد الهوية أكثر أماناً منها:
من أفضل الخطوات استخدام تطبيق الهاتف Google Authenticator، والذي يوفر رموز تأكيد الهوية التي يصعب على المتسلل الوصول إليها، بما أنها تصل إلى هاتفك فعلياً.
أو استخدام مفتاح أمان فعلي، وهو عبارة عن قطعة صغيرة من الأجهزة يمكن شراؤها بشكل منفصل لإنشاء رموز أمان، وسيحتاج المتسلل إلى سرقة هذا المفتاح للوصول إلى حسابك.
2- تغيير رقم الهاتف المرتبط بحساب تويتر:
تعتبر الطريقة الوحيدة المتاحة لإيقاف القدرة على استخدام الرسائل النصية لإرسال تغريدات إلى حسابك من رقم هاتفك. ولكن ذلك سيؤدي إلى تعطيل ميزة المصادقة في حسابك. ويمكن استبدال رقم هاتفك برقم هاتف افتراضي مجهول لإخفاء الرقم الحقيقي، إذ لا تدير شركة اتصالات هذا الرقم، ولا يوجد من يمكنه مساعدة المتسلل للتحكم في رقمك.
إذا كنت في الولايات المتحدة؛ يمكنك استبدال رقم هاتفك برقم يمكنك إنشاؤه بواسطة خدمة Google Voice، أما خارجها فيحتاج المشترك إلى خدمة بديلة مثل: Virtual Phone التي توفر أرقاماً محلية وأرقاماً مجانية افتراضية في أكثر من 120 دولة.
موقع 24