تويتر: عملية قرصنة غير مسبوقة

أكدت شركة تويتر أن الاختراق غير المسبوق لحسابات المشاهير هذا الشهر نجم عن خطأ بشري وعملية قرصنة على موظفي تويتر.

ويطلق على هذا النوع من القرصنة الإلكترونية "التصيد بالرمح" وهو هجوم موجه مصمم لخداع الأشخاص على تقديم معلومات حساسة مثل كلمات السر.

وقالت تويتر إن موظفيها استهدفوا من خلال هواتفهم.

وسمحت المحاولة الناجحة للمهاجمين بأن يغردوا من حسابات للمشاهير وأن يدخلوا إلى رسائلهم الخاصة المباشرة.

وقد تم اختراق حسابات مؤسس شركة مايكروسوفت بيل غيتس ومرشح الحزب الديمقراطي للانتخابات الرئاسية الأمريكية جو بايدن ونجمة تلفزيون الواقع كيم كارداشيان ويست.

وتشير الأنباء إلى أن المحتالين حصلوا على أكثر من 100 ألف دولار أمريكي.

ولقد أثار الهجوم المخاوف حول مستوى الدخول الذي يتمتع به موظفو تويتر، ولاحقاً القراصنة، إلى حسابات المستخدمين.

وأقرت تويتر بهذه المخاوف في بيانها قائلة إنها "تنظر بجدية " في كيفية تحسين الأذونات الخاصة بالدخول إلى الحسابات التي تمنحها والعمليات التي تقوم بها.

وقالت الشركة إن "الوصول إلى هذه الأدوات محدود جداً وهو يمنح فقط لأسباب تجارية مشروعة".

وقالت شركة تويتر إن الموظفين الذين جرى استهدافهم بهجوم التصيد بالرمح لا يملكون كلهم إمكانية الوصول إلى الأدوات الداخلية، ولكنهم يملكون إذن الدخول إلى الشبكة الداخلية وأنظمة أخرى.

وحالما يحصل المهاجمون على وسائل الاعتماد الخاصة بالمستخدم لإدخالهم إلى شبكة تويتر، تصبح المرحلة التالية من هجومهم أكثر سهولة.

واستهدف المهاجمون موظفين آخرين يملكون أذونات الدخول إلى ضوابط التحكم في الحسابات.

وقالت تويتر إن المحاولة الأولى للتصيد بالرمح حدثت يوم 15 يوليو/تموز - وهو نفس اليوم الذي جرى فيه اختراق الحسابات، وهو ما يشير إلى أن الحسابات جرى الدخول إليها خلال ساعات.

وقالت الشركة إن "هذا الهجوم اعتمد على محاولة كبيرة ومنسقة لخداع موظفين معينين واستغلال نقاط الضعف البشرية من أجل الحصول على إذن بالدخول إلى أنظمتنا الداخلية.

"وكان هذا الحادث بمثابة تذكير لنا بمدى أهمية كل شخص في فريقنا في حماية خدمتنا".

ولم تذكر تويتر ما إذا كان الهجوم قد تضمن مكالمات صوتية، على الرغم من أن تقريراً سابقاً من بلومبيرغ ذكر أن موظفاً واحداً على الأقل في تويتر تم الاتصال به من قبل المهاجمين عبر مكالمة هاتفية.

وتتتم عملية التصيد في أكثر أشكالها شيوعاً عبر البريد الإلكتروني والرسائل النصية، حيث تشجع المتلقين على النقر على روابط تأخذهم إلى مواقع إلكترونية تضم شاشات مزيفة لتسجيل الدخول.

والتصيد بالرمح هو نسخة من عملية الاحتيال الموجهة لشخص واحد أو شركة محددة، وعادة ما تكون مفصلة حسب الطلب لتجعل الخدعة أكثر قابلية للتصديق.

وقال أحد الضحايا الذين جرى اختراق حساباتهم لبي بي سي إنه كانت هناك عدة أشياء كان يمكن لتويتر أن يقوم بها بشكل مغاير.

وقال الضحية: "ما كان ينبغي عليهم أن يمنحوا لموظف واحد القدرة على أن يزيل عنوان البريد الإلكتروني من على ملف ما ووسيلة التحقق المؤلفة من مرحلتين".

ومضى قائلاً: "أتفهم الحاجة لوجود هذا الأمر- فعلى سبيل المثال إذا كان هناك حساب خامل ببريد الكتروني قديم جداً لا يمكن الدخول إليه وأنت فقدت هاتفك أو شيء من هذا القبيل- لكن ينبغي أن يتطلب الأمر وجود موظفين اثنين لتسجيل الخروج من الحساب".

وقال عدد من الضحايا إن التواصل من جانب تويتر كان سيئاً.

وقال الضحية الذي تحدث لبي بي سي: "استغرق الأمر 10 أيام لإعادة ضبط هذا الحساب من دون أي استجابة شخصية فعلية من جانب تويتر. وتلقيت حرفياً بريداً الكترونياً آلياً من نظامهم يقول "انقر هنا للاستمرار" وذلك عندما أعادوا بريدي الإلكتروني إلى الحساب من أجل السماح لي بإعادة ضبط إعدادات الحساب- وبدا في حينه مثل رسائل البريد الإلكتروني الخاصة بالاحتيال".