“ثغرات أمنية” لدى Apple وAmazon مكنت مخترقا من تدمير الحياة الرقمية لإحدى ضحاياه بثلاثة اتصالات هاتفية فقط

الوقت المقدّر لقراءة هذا المقال: 5 دقيقة و 6 ثانية

أدى اختراق الحسابات الشخضية لدى Apple و Amazon لأحد كتّاب Gizmodo، إلى رفع الكثير من المخاوف لدى المستخدمين حول درجة الأمان التي تتمتع بها المنظومات السحابية بشكل عام.

هذا وتدور أحداث قصتنا مع البطل الكاتب Mat Honan الذي تحدث في مقالة تم نشرها في مجلة Wired، عن قيام أحدهم باختراق حساب iCloud الخاص به، وقيامه بمسح جميع البيانات من حاسبه المحمول MacBook وهاتفه الذكي iPhone والـ iPad الخاص به، والتي كانت متصلة بحسابه السحابي لدى Apple. ولم يكتفي المخترق بهذا بل تمكن من اختراق حساباته في Twitter و Gmail.

وفي قصته، يلقي Honan باللوم على نفسه لعدم اتباعه الإجراءات الوقائية الأساسية لحماية بياناته – فجميع حساباته عبر الانترنت كانت مرتبطة بعضها ببعض، بالإضافة إلى عدم قيامه بأخذ نسخ احتياطية محلية عن بياناته على سبيل المثال.

لكن القلق الأعظم ظهر جلياً من تمكن المخترق الذي دعى نفسه “الرهاب” “Phobia” من دخول جميع هذه الحسابات بتلك السرعة والسهولة بعد قيامه بإجراء بضعة اتصالات فقط إلى كل من Amazon و Apple (منفذاً الهجوم الذي يدعى “الهندسة الاجتماعية” أو “Social Engineering”) حيث تمكن من إقناع ممثلي خدمة الزبائن لدى كل من Amazon و Apple بأنه صاحب الحساب Honan.

الهدف من كل هذه العملية كان الاستيلاء على حساب الضحية على تويتر، وبالدخول إلى موقع الضحية على الإنترنت ومعرفة عنوان بريده الإلكتروني على Gmail، قام المخترق بطلب استعادة كلمة المرور هذا الحساب والتي تم إرسالها إلى عنوان البريد الإلكتروني الثانوي والذي كان على خدمة @me.com الخاصة بـ Apple.

وللولوج إلى هذا الحساب، احتاج المخترق لثلاث اتصالات هاتفية فقط: وتمت على النحو التالي:

لاسترجاع بيانات حساب الضحية لدى Apple فإنه يجب امتلاك 4 معلومات مختلفة، ويتعلق الأمر بكل من اسم الحساب، عنوان البريد الالكتروني، العنوان الشخصي، وآخر أربعة أرقام من البطاقة الائتمانية. وبما أن المخترق يملك جميع هذه البيانات باستثناء الأرقام الأخيرة من البطاقة البنكية، استعان بـ Amazon للقيام بذلك.

Amazon تسمح بإضافة بطاقات ائتمانية جديدة عبر الهاتف، وهذا ما قام به المخترق في اتصاله الأول بالشركة، ثم عاد واتصل من جديد ليطلب استرجاع كلمة المرور الخاصة به، وهو ما تمكن من فعله لأنه يملك البيانات التي تطلبها الشركة للقيام بذلك، وهي: الاسم، العنوان البريدي، ورقم البطاقة البنكية (والتي أضافها لتوه).

وبمجرد دخوله إلى حساب الضحية على Amazon، تمكن المخترق من الحصول على الأرقام الأربعة الأخيرة للبطاقة البنكية الأولى، وهو ما مكنه بعد الاتصال بخدمة الدعم الفني الخاصة بـ Apple من استرجاع كلمة سر الحساب البريدي على خدمة @me.com ، وهو ما مكن بدوره من استرجاع كلمة مرور حساب Gmail وحذفه لاحقا، وتغيير كلمة مرور حساب تويتر الخاص بالضحية، إضافة إلى مسح جميع البيانات الرقمية الخاصة بأجهزة الضحية عن بعد.

 يعقّب Honan على ما حدث بقوله:

 “Amazon تعتبر أن الأرقام الـ 4 الأخيرة من البطاقة الائتمانية غير مهمّة، ولكن من الناحية الأخرى فإن Apple تعتبر أن هذه الأرقام مهمّة جداً في عملية التحقق من الهوية! إن عدم الارتباط الواضح في السياسات الأمنية المتبعة بين الشركات يشكل كارثة في ظل دخولنا عصر الحوسبة السحابية”

لقراءة المزيد من المعلومات يمكن الإطلاع على التدوينة التي قام Honan بنشرها.

قامت كل من Apple وAmazon بإيقاف عملية استرجاع كلمة المرور عبر الهاتف بعد عملية الاختراق هذه.

هل تربط حساباتك على الإنترنت بعضها مع بعض؟ وهل تظن بأن عملية الاختراق لم تكن لتحصل لو فعل الصحفي خاصية  two-factor authentication على Gmail؟


هل أعجبك هذا المقال؟ أخبر أصدقاءك عنه Share on Facebook0Tweet about this on TwitterShare on Google+15Share on LinkedIn0Buffer this pageEmail this to someoneShare on Reddit0Share on Tumblr0

عن كاتب المقال:

من محاربي الأسمبلي القدامى. أتقن البرمجة بالعديد من اللغات بما يتناسب مع طبيعة المشاريع التي أعمل عليها. مهتم بالنواحي الأمنية للتطبيقات المكتبية، تطبيقات الويب وأمن الشبكات والأنظمة. الرمادي هو لوني المفضّل.

  • بالتأكيد لن يستطيع المخترق اختراق حساب الGmail لو قام بتفعيل خاصية التحقق بخطوتين لأنه على المحترق ان يسرق شريحة الهاتف الخاصة بالضحية و يكون مقيم في نفس البلد و الشرط الاول شبه مستحيل.
    انا شخصيا فعلت هذه الخاصية منذ مدة و قد تمت عشرات المحاولات لاختراق جهازي رغم معرفتهم لكلمة السر لكنهم فشلوا في تجاوز عملية التحقق بخطوتين لصعوبتها + 90% من محاولات اختراق بريد gmail الخاص بي تأتي من المانيا ؟؟؟

  • السلام عليكم ورحمة الله وبركاته
    جزاكم الله خيرا على موقعكم الرائع والمفيد والذي ينشر فقط الأخبار المهمة وليس كل خبر تافها كان أم مهما ، مع إضافة بعض التحليل والأسئلة الصغيرة .

    يوجد خطأ في السطر السادس ( عدم قيامه بأخذ نسخ احتياطية محليو ) والصحيح محليه .

    • شكراً على التنبيه. تم التصحيح.

  • حان الوقت لاستخدام بصمة الاصبع أو العين للتحقق من الهوية