بعدازظهر جمعه، ۳۰ آگوست، ۴٫۲ میلیون دنبال کننده «جک دورسی» (Jack Dorsey)، مدیرعامل توییتر، با سورپرایز ناخوشایندی روبرو شدند. گروهی از خرابکارها به حساب کاربری او دسترسی پیدا کردند و جریانی از پیام‌های توهین‌آمیز را به راه انداختند و از این دسترسی برای کانالشان در اپلیکیشن Discord (پیام‌رسان) استفاده کردند تا اعتراض خود را اعلام کنند. بعد از ۱۵ دقیقه، اوضاع تحت کنترل بود و دسترسی این گروه از Discord هم قطع و ممنوع اعلام شد؛ اما هک کردن حساب کاربری مدیرعامل توییتر یادآور آسیب‌پذیریی‌هایی جدی حتی در حساب‌های کاربری با بالاترین اعتبارات است و نشان از این دارد که احراز هویت مبتنی بر تلفن همراه از همیشه ناامن‌تر است.

تعویض سیم‌کارت همه‌جا اتفاق میفتد و واضح است که توییتر هنوز برای آن آماده نیست.

هکرها از طریق سرویس «پیام نوشتاری به توییت» که توسط سرویس Cloudhopper اداره می‌شود، توانسته بودند به حساب کاربری «جک دورسی» وارد شوند. با استفاده از Cloudhopper، کاربران توییتر می‌توانند با ارسال پیام کوتاه به یک شورت‌کد که معمولا ۴۰۴۰۴ است، توییت کنند. این سرویس برای کسانی کاربردی است که تلفن‌های ساده دارند و در لحظه به اپلیکیشن توییتر دسترسی ندارند. این سرویس فقط از شما می‌خواهد شماره تلفن خود را با حساب توییترتان لینک کنید که اکثر کاربران قبلا به دلیل مسائل امنیتی، این کار را انجام داده بودند. درنتیجه، کنترل شماره تلفن شما معمولا برای ارسال توییت به حساب کاربری‌تان کافی است و اکثر مردم هیچ اطلاعی از این مسئله ندارند.

همان‌طور که مشخص است، دسترسی به شماره تلفن «دورسی» آن‌قدرها هم که فکر می‌کنید سخت نبود. طبق بیانیه توییتر، «نظارت امنیتی» توسط ارائه‌دهنده خدمات، به هکرها اجازه داده به شماره تلفن و درنتیجه، حساب کاربری او دسترسی پیدا کنند. به‌طورکلی، این نوع حمله‌ها، هک سیم‌کارت نامیده می‌شوند. درواقع، متقاعد کردن یک شرکت مخابراتی برای اختصاص شماره تلفن دورسی به تلفن جدیدی که کنترل آن در دست هکرهاست.

این روش جدیدی نیست، البته بیشتر برای سرقت بیت کوین یا حساب‌های کاربری باارزش در اینستاگرام استفاده می‌شود. اغلب، این کار به اندازه استفاده از یک گذرواژه فاش شده ساده است. با اضافه کردن یک پین کد به حساب کاربری خود در شرکت مخابرات یا ثبت‌نام در وب‌سایت‌هایی مثل توییتر با یک شماره ساختگی می‌توانید از حساب کاربری‌تان محافظت کنید، اما این تکنیک‌ها برای یک کاربر معمولی بیش‌ازحد پیچیده و سخت است. درنتیجه،‌ تعویض سیم‌کارت به یکی از تکنیک‌های موردعلاقه آشوبگران آنلاین تبدیل شده است و همان‌طور که فهمیدیم، خیلی بیشتر از آنچه که فکر کنیم، می‌تواند باعث دردسر شود.

هک کردن حساب کاربری مدیرعامل توییتر 02

گروه Chuckling Squad، گروهی که حساب کاربری «دورسی» را هک کرده بودند، سال‌هاست از این ترفند استفاده می‌کنند. بزرگ‌ترین و برجسته‌ترین حملات آن‌ها تا به امروز، هک کردن زنجیره‌ای حساب کاربری اینفلوئنسرهای آنلاین بوده که قبل از «دورسی»،‌ ده‌ها شخصیت مطرح را هدف قرار داده بودند.

همچنین اخبار جدید حاکی از آن است که یک روز پیش، یعنی ۵ سپتامبر ۲۰۱۹، حساب توییتر «کلوئی گریس مورتز» (Chloë Grace Moretz)، بازیگر آمریکایی هم هک شده است و شواهد نشان می‌دهند کار گروه Chuckling Squad است.

به نظر می‌رسد آن‌ها با حقه خاصی از شرکت AT&T استفاده می‌کنند که اپراتور و ارائه‌دهنده خدمات مخابراتی به «دورسی» و «مورتز» هستند. هرچند هنوز دقیقا مشخص نیست آن‌ها چطور کنترل شماره تلفن و بعد حساب کاربری این افراد را به‌دست گرفتند. شرکت AT&T هنوز درباره این حوادث اظهارنظر نکرده است.

تاریخچه این نوع هک‌ها بسیار قدیمی‌تر از Chuckling Squad یا حتی تعویض سیم‌کارت (SIM Swipping) است. هر سیستمی که توییت کردن را برای کاربران توییتر ساده‌تر کند، کار را برای هکر‌ها هم راحت‌تر می‌کند. در سال ۲۰۱۶، «دورسی» هدف حمله مشابهی قرار گرفت که در این حادثه از افزونه‌های متفرقه برای دسترسی به حساب کاربری او استفاده شده بود. این افزونه‌ها اغلب فراموش‌شده هستند اما هنوز اجازه ارسال توییت به حساب‌های کاربری افراد را دارند و همین باعث می‌شود هکرها به‌راحتی کنترل اکانت افراد را به‌دست بگیرند. بعد از همه‌گیر شدن تکنیک تعویض سیم‌کارت، تکنیک افزونه‌ها کمتر موردتوجه قرار گرفت؛ چراکه تکنیک اول ساده‌تر و قابل‌درک‌تر است. با این حال، اهداف اصلی خرابکاری‌های زنجیره‌ای در فضای اینترنت همچنان بدون تغییر باقی مانده است.

با این وجود،‌ چنین حادثه‌ای برای توییتر شرم‌آور است و فقط دلیلش این نیست که بعد از این حادثه بلافاصله برای بازیابی حساب کاربری مدیرعامل وارد عمل شدند. دنیای امنیت سال‌هاست از حملات مربوط به تعویض سیم‌کارت خبر دارد و حساب کاربری «دورسی» قبلا هم هک شده بود. یک ضعف کوچک در کنترل حساب کاربری مدیر عامل، شکست بزرگی برای شرکت است که پیامدهای آن فراتر از همان چند دقیقه هرج و مرج است. امیدواریم توییتر از این حادثه درس بگیرد و امنیت بیشتر و قوی‌تر حساب کاربری افراد را در اولویت قرار بدهد؛ حتی شاید تایید حساب کاربری توییتر را از پیام کوتاه دور کند. اما با توجه به سابقه خراب شرکت، به احتمال زیاد بسیاری از افراد نفسشان را در سینه حبس کردند و نگران حساب کاربری‌شان هستند.

منبعThe Verge
صبا سعادت‌جو
فارغ‌التحصیل کارشناسی ارشد آموزش زبان انگلیسی، عاشق فناوری و هر چیزی که تو این حوزه قرار می‌گیره. طرفدار دو آتیشه برند اپل و عاشق نوشتن درباره محصولات و تولیدات جدید در حوزه تکنولوژی. تولید محتوا و زبان انگلیسی هم دو تا از جذاب‌ترین مباحث زندگی منه و از این کار لذت می‌برم.

مقالات مرتبطبیشتر از این نویسنده

ارسال یک پاسخ

لطفا دیدگاه خود را وارد کنید!
لطفا نام خود را در اینجا وارد کنید