بعدازظهر جمعه، ۳۰ آگوست، ۴٫۲ میلیون دنبال کننده «جک دورسی» (Jack Dorsey)، مدیرعامل توییتر، با سورپرایز ناخوشایندی روبرو شدند. گروهی از خرابکارها به حساب کاربری او دسترسی پیدا کردند و جریانی از پیامهای توهینآمیز را به راه انداختند و از این دسترسی برای کانالشان در اپلیکیشن Discord (پیامرسان) استفاده کردند تا اعتراض خود را اعلام کنند. بعد از ۱۵ دقیقه، اوضاع تحت کنترل بود و دسترسی این گروه از Discord هم قطع و ممنوع اعلام شد؛ اما هک کردن حساب کاربری مدیرعامل توییتر یادآور آسیبپذیرییهایی جدی حتی در حسابهای کاربری با بالاترین اعتبارات است و نشان از این دارد که احراز هویت مبتنی بر تلفن همراه از همیشه ناامنتر است.
تعویض سیمکارت همهجا اتفاق میفتد و واضح است که توییتر هنوز برای آن آماده نیست.
هکرها از طریق سرویس «پیام نوشتاری به توییت» که توسط سرویس Cloudhopper اداره میشود، توانسته بودند به حساب کاربری «جک دورسی» وارد شوند. با استفاده از Cloudhopper، کاربران توییتر میتوانند با ارسال پیام کوتاه به یک شورتکد که معمولا ۴۰۴۰۴ است، توییت کنند. این سرویس برای کسانی کاربردی است که تلفنهای ساده دارند و در لحظه به اپلیکیشن توییتر دسترسی ندارند. این سرویس فقط از شما میخواهد شماره تلفن خود را با حساب توییترتان لینک کنید که اکثر کاربران قبلا به دلیل مسائل امنیتی، این کار را انجام داده بودند. درنتیجه، کنترل شماره تلفن شما معمولا برای ارسال توییت به حساب کاربریتان کافی است و اکثر مردم هیچ اطلاعی از این مسئله ندارند.
همانطور که مشخص است، دسترسی به شماره تلفن «دورسی» آنقدرها هم که فکر میکنید سخت نبود. طبق بیانیه توییتر، «نظارت امنیتی» توسط ارائهدهنده خدمات، به هکرها اجازه داده به شماره تلفن و درنتیجه، حساب کاربری او دسترسی پیدا کنند. بهطورکلی، این نوع حملهها، هک سیمکارت نامیده میشوند. درواقع، متقاعد کردن یک شرکت مخابراتی برای اختصاص شماره تلفن دورسی به تلفن جدیدی که کنترل آن در دست هکرهاست.
این روش جدیدی نیست، البته بیشتر برای سرقت بیت کوین یا حسابهای کاربری باارزش در اینستاگرام استفاده میشود. اغلب، این کار به اندازه استفاده از یک گذرواژه فاش شده ساده است. با اضافه کردن یک پین کد به حساب کاربری خود در شرکت مخابرات یا ثبتنام در وبسایتهایی مثل توییتر با یک شماره ساختگی میتوانید از حساب کاربریتان محافظت کنید، اما این تکنیکها برای یک کاربر معمولی بیشازحد پیچیده و سخت است. درنتیجه، تعویض سیمکارت به یکی از تکنیکهای موردعلاقه آشوبگران آنلاین تبدیل شده است و همانطور که فهمیدیم، خیلی بیشتر از آنچه که فکر کنیم، میتواند باعث دردسر شود.
گروه Chuckling Squad، گروهی که حساب کاربری «دورسی» را هک کرده بودند، سالهاست از این ترفند استفاده میکنند. بزرگترین و برجستهترین حملات آنها تا به امروز، هک کردن زنجیرهای حساب کاربری اینفلوئنسرهای آنلاین بوده که قبل از «دورسی»، دهها شخصیت مطرح را هدف قرار داده بودند.
همچنین اخبار جدید حاکی از آن است که یک روز پیش، یعنی ۵ سپتامبر ۲۰۱۹، حساب توییتر «کلوئی گریس مورتز» (Chloë Grace Moretz)، بازیگر آمریکایی هم هک شده است و شواهد نشان میدهند کار گروه Chuckling Squad است.
به نظر میرسد آنها با حقه خاصی از شرکت AT&T استفاده میکنند که اپراتور و ارائهدهنده خدمات مخابراتی به «دورسی» و «مورتز» هستند. هرچند هنوز دقیقا مشخص نیست آنها چطور کنترل شماره تلفن و بعد حساب کاربری این افراد را بهدست گرفتند. شرکت AT&T هنوز درباره این حوادث اظهارنظر نکرده است.
تاریخچه این نوع هکها بسیار قدیمیتر از Chuckling Squad یا حتی تعویض سیمکارت (SIM Swipping) است. هر سیستمی که توییت کردن را برای کاربران توییتر سادهتر کند، کار را برای هکرها هم راحتتر میکند. در سال ۲۰۱۶، «دورسی» هدف حمله مشابهی قرار گرفت که در این حادثه از افزونههای متفرقه برای دسترسی به حساب کاربری او استفاده شده بود. این افزونهها اغلب فراموششده هستند اما هنوز اجازه ارسال توییت به حسابهای کاربری افراد را دارند و همین باعث میشود هکرها بهراحتی کنترل اکانت افراد را بهدست بگیرند. بعد از همهگیر شدن تکنیک تعویض سیمکارت، تکنیک افزونهها کمتر موردتوجه قرار گرفت؛ چراکه تکنیک اول سادهتر و قابلدرکتر است. با این حال، اهداف اصلی خرابکاریهای زنجیرهای در فضای اینترنت همچنان بدون تغییر باقی مانده است.
با این وجود، چنین حادثهای برای توییتر شرمآور است و فقط دلیلش این نیست که بعد از این حادثه بلافاصله برای بازیابی حساب کاربری مدیرعامل وارد عمل شدند. دنیای امنیت سالهاست از حملات مربوط به تعویض سیمکارت خبر دارد و حساب کاربری «دورسی» قبلا هم هک شده بود. یک ضعف کوچک در کنترل حساب کاربری مدیر عامل، شکست بزرگی برای شرکت است که پیامدهای آن فراتر از همان چند دقیقه هرج و مرج است. امیدواریم توییتر از این حادثه درس بگیرد و امنیت بیشتر و قویتر حساب کاربری افراد را در اولویت قرار بدهد؛ حتی شاید تایید حساب کاربری توییتر را از پیام کوتاه دور کند. اما با توجه به سابقه خراب شرکت، به احتمال زیاد بسیاری از افراد نفسشان را در سینه حبس کردند و نگران حساب کاربریشان هستند.
