مفهوم – هل تعتقد أنك تقوم بتأمين حسابك على موقع تويتر بشكل جيد؟ ماذا لو أخبرتك أن حساب المؤسس والرئيس التنفيذي لشركة تويتر تعرض للاختراق!.
بالفعل تعرض حساب جاك دورسي Jack Dorsey الرئيس التنفيذي لشركة تويتر للاختراق، حيث نشر المخترق مجموعة تغريدات شملت إهانات عنصرية وتأييد للنازية، وقد استمرت التغريدات نحو 15 دقيقة، قبل أن تحذفها تويتر.
نستعرض في البداية كيف تم إختراق حساب الرئيس التنفيذي لشركة تويتر ثم ننتقل إلى كيفية تأمين حسابك على تويتر.
كيف اُخترق حساب رئيس توتير التنفيذي؟
قالت شركة تويتر في تغريدة: “إن رقم الهاتف المرتبط بالحساب قد اُخترق بسبب خطأ أمني من قِبل الشركة المزودة لخدمات الهاتف المحمول، وهذا سمح للمخترق بإنشاء وإرسال تغريدات عبر الرسائل النصية القصيرة SMS من رقم الهاتف”.
من المحتمل أن يكون دورسي ضحية للعملية الاحتيالية المعروفة باسم مبادلة بطاقة SIM – أو ما بات يعرف في الأوساط المختصة باسم SIM swap، أو SIM splitting -، وهي ممارسة يقوم فيها أحد المتسللين برشوة أو إقناع موظف شركة الهاتف المحمول بتبديل رقم الهاتف إلى جهاز المتسلل.
بمجرد تحكم المُخترق في رقم دورسي، استغل أحد الميزات القديمة بالمنصة وهي “Tweet via text message“، التي تديرها خدمة Cloudhopper، وهي خدمة استحوذت عليها تويتر في عام 2010 لتحسين خدمة الرسائل النصية القصيرة.
باستخدام Cloudhopper؛ يمكن لمستخدمي تويتر نشر التغريدات عن طريق إرسال رسائل نصية إلى رقم 40404. حيث لا يتطلب النظام سوى ربط رقم هاتفك بحسابك على تويتر، – وهو ما يفعله معظم المستخدمين بالفعل لأسباب أمنية منفصلة – نتيجةً لذلك عادة ما تكون السيطرة على رقم هاتفك كافية لنشر التغريدات على حسابك، وليس لدى معظم المستخدمين أي فكرة.
بالنظر للمدة الزمنية التي استمر فيها اختراق الحساب سنجد أنها مدة بسيطة، إلا أن الحادث كان بمثابة تذكير بأوجه الضعف الخطيرة في المنصة، والتي وصلت إلى الحسابات ذات المستوى الأعلى، وإلى أي مدى أصبحت المصادقة على الهاتف غير آمنة. لذلك إذا كنت تستخدم تويتر، يجب عليك التأكد من أن حسابك آمن قدر الإمكان.
نصائح لحماية وتأمين حساب تويتر:
1- تفعيل ميزة المصادقة الثنائية:
من الجيد دائمًا تشغيل المصادقة الثنائية 2FA، كخطوة تحقق إضافية لتأكيد هويتك بالإضافة إلى كلمة المرور العادية. ولكن حتى المصادقة الثنائية لن تفيد في حال من اختراق بطاقة SIM.
لحسن الحظ؛ يوفر تويتر عدة طرق لتأكيد الهوية أكثر أمانًا منها:
من أفضل الخطوات استخدام تطبيق الهاتف (Google Authenticator)، والذي سيوفر لك رموز لتأكيد الهوية يصعب على المتسلل الوصول إليها لأنه لابد أن يصل إلى هاتفك فعليًا.
أو استخدام مفتاح أمان فعلي، وهو عبارة عن قطعة صغيرة من الأجهزة يمكنك شراؤها بشكل منفصل تنشئ رموز أمان. وسيحتاج المتسلل إلى سرقة هذا المفتاح ليتمكن من الوصول إلى حسابك.
2- تغيير رقم الهاتف المرتبط بحساب تويتر:
تعتبر الطريقة الوحيدة المتاحة حاليًا لإيقاف القدرة على استخدام الرسائل النصية لإرسال تغريدات إلى حسابك هي حذف رقم هاتفك من تويتر تمامًا. ولكن القيام بذلك سيؤدي إلى تعطيل ميزة المصادقة الثنائية في حسابك.
لذلك يمكنك استبدال رقم هاتفك برقم هاتف افتراضي مجهول لإخفاء رقمك الحقيقي، حيث لا يتم إدارة هذا الرقم بواسطة شركة اتصالات، وليس هناك أي شخص يمكن للمتسلل التحدث إليه لمساعدته على التحكم في رقمك.
إذا كنت في الولايات المتحدة؛ يمكنك استبدال رقم هاتفك برقم يمكنك إنشاؤه بواسطة خدمة Google Voice، وأي شخص خارج الولايات المتحدة سيحتاج إلى إيجاد خدمة بديلة مثل: Virtual Phone وهي خدمة توفر أرقامًا محلية وأرقامًا مجانية افتراضية في أكثر من 120 دولة.