الدقيقة الـ 12 دولار: لما حد اشترى Google.com بهدوء تام

لمدة دقيقة واحدة تقريباً في ليلة 29 سبتمبر 2015، لم يكن أشهر عنوان على الإنترنت ملكاً لـ Google.

كان ملكاً لموظف سابق في Google اسمه سانماي فيد، اللي كان قد اشترى google.com بـ 12 دولار.

هو ماعملش اختراق. ماستغلش ثغرة buffer overflow ومادخلش بالتصيد الاحتيالي. راح على واجهة البيع بتاعة Google نفسها — Google Domains — كتب النطاق الأشهر في العالم، وشاف عملية الدفع بتعمل حاجة ماكانتش المفروض تعملها أبداً: سمتله يدفع. البطاقة اتشحنت. الطلب اتنفذ. ولمدة ستين ثانية تقريباً، صاحب التسجيل الرسمي لـ google.com كان طالب دراسات عليا في ماساتشوستس.

دي Domain Mayday / 域名浩劫، سلسلتنا عن اللحظات اللي فشل فيها أمان النطاقات على الملأ. معظم الحلقات بتتكلم عن نطاقات سرقها مهاجمون. الحلقة دي مختلفة — ومزعجة أكتر — لأن محدش كان بيهاجم أي حاجة. أهم نطاق على وجه الأرض اتباع، بسعره الاعتيادي، لأول شخص حطه في عربية التسوق.

إيه اللي بيمثله google.com عادةً

صعب تبالغ في وصف قيمة google.com، لأن الرقم مش مجرد رقم.

Google.com هو الباب الرئيسي لأكتر محرك بحث مستخدم على الكوكب، وركيزة Gmail وMaps وAds وتدفقات حسابات YouTube، والعمود الفقري للمصادقة لمليارات البشر. Slate، في تغطيتها للحادثة، وصفته بأنه "أكتر نطاق بيستقبل زيارات في العالم". مهما باعت Tesla.com أو Cars.com، فـ google.com في فئة لوحده: مش أصل تجاري بس، ده بنية تحتية بيلمسها جزء كبير من سكان الأرض كل يوم.

نطاق زي ده المفروض يكون محصّن تماماً. المفروض يكون مقفول، مفعّل فيه الحماية، محجوز عند الـ registry، ممنوع نقله — ومغلف بكل حماية ممكن المُسجِّل يطبقها. الفكرة الأساسية لأمان النطاقات هي إن كل ما كان الاسم أكتر أهمية، كل ما بقى أصعب تحريكه.

وبعدين، بـ 12 دولار، اتحرك.

دقيقة الـ 12 دولار

فن مفاهيمي ملوّن وحيوي لكرة أرضية متوهجة على شكل نطاق وعليها بطاقة سعر بـ 12 دولار، وعملة معدنية بتسقط في فتحة دفع وساعة رملية بتبدأ تشتغل لمدة دقيقة

فيد ماكانش بيدور على مشاكل. كان موظف سابق في Google — اشتغل في الشركة كاستراتيجي حسابات من سنين — وفي آخر الليل كان بيستكشف Google Domains، خدمة المُسجِّل الجديدة بتاعت Google آنذاك، وبيتفرج على أسماء النطاقات. على مزاجه، كتب الاسم الكبير.

على حد قوله هو، النتيجة وقفته في مكانه: "كتبت Google.com ومن دهشتي أظهر لي إنه متاح"، قال فيد لـ Business Insider. مش "مميز"، ومش "قدّم عرضاً"، ومش "النطاق ده محجوز". متاح. برسوم التسجيل الاعتيادية البالغة 12 دولار.

حطه في عربيته وأكمل الدفع، وهو متأكد إن النظام هيرفضه. ماعملش كده. الصفقة اكتملت. كما لخّصها The Hacker News، موظف سابق في Google "تمكن من شراء النطاق الأكتر زيارة في العالم Google.com عبر خدمة Google Domains الخاصة بالشركة بـ 12 دولار فقط."

وبعدين بدأ الإيميل بتاعه يمتلي. الأنظمة اللي بتعتمد على ملكية النطاق — اللي بترسل تنبيهات وصلاحيات لمالك النطاق الموثّق — شافت مالكاً جديداً وبدأت تعمل شغلتها. وصفت Security Affairs اللحظة: "في ثوانٍ معدودة امتلأ صندوق البريد بتاعه وGoogle Webmaster Tools برسائل متعلقة بالـ webmaster بتؤكد ملكية نطاقات Google.com."

في تلك الدقيقة، فيد ماكانش مكتوب اسمه مالكاً على الورق بس. الآلة كانت بتتعامل معاه فعلاً كمالك.

اللي بتتحكم فيه فعلاً في تلك الدقيقة

دي النقطة اللي بتحوّل الطرفة المضحكة لقصة أمنية حقيقية.

لما بتكون المالك الموثّق لنطاق في منظومة Google، بتاخد وصولاً لـ Webmaster Tools (Search Console دلوقتي) — لوحة التحكم اللي بيستخدمها أصحاب المواقع عشان يشوفوا إزاي بيتأشّر موقعهم، ويقدموا الـ sitemaps، ويطلعوا على الرسائل الداخلية، ويتحكموا في طريقة ظهور النطاق في البحث. فيد قال بعدين إن المغزى ماكانش خافي عليه: "الجزء المخيف كان إن عندي وصول لصلاحيات الـ webmaster لمدة دقيقة"، وضّح.

ذكرت التقارير في الوقت ده إنه كان عنده "وصول إداري لـ Google.com" وإن "لوحة Google Search Console بتاعته اتحدثت برسائل خاصة بنطاق Google.com." فكّر في اللي بيخليك تقدر توصله لما تملك نطاق: سجلات DNS، وتوجيه البريد، والقدرة على إثبات "الملكية" لأطراف تانية، وصلاحيات محرك البحث اللي بتحدد طريقة ظهور الموقع للعالم. التسجيل هو المفتاح الرئيسي. كل حاجة بعده — DNS والشهادات والإيميل والدخول الموحّد وفهرسة البحث — بتفترض إن المسجِّل هو مَن يقول إنه هو.

فيد عمل الحاجة المسؤولة. ماغيّرش سجلاً واحداً. بلّغ على الفور. لكن الدرس فاضل موجود: الفرق بين "طالب فضولي" و"كارثة" ماكانش تحكماً تقنياً. كان قرار شخص واحد إنه يتصرف بشرف.

استجابة Google — وإزاي استردّت السيطرة

فن مفاهيمي ملوّن وحيوي لمفتاح ضخم متوهج محمول بإيد مفتوحة لوهلة، ثم بيتسحب بلطف بشعاع ضوء، على خلفية سماء تشبه لوحة دوائر متكاملة، مع عملة معدنية مستردة بتطفو في الهواء

أنظمة Google الآلية اكتشفت الخلل بسرعة. في غضون دقيقة تقريباً، انعكس الطلب. أفادت Fox News ببساطة: "Google Domains ألغت الصفقة بعد دقيقة، قائلةً إن شخصاً سجّل الموقع قبله، وردّت لفيد الـ 12 دولار." "الشخص" اللي سجّله قبله طبعاً كانت Google نفسها.

بعدين Google عملت الحاجة اللي حوّلت القصة دي لأسطورة. من خلال برنامج Vulnerability Reward، دفعت لفيد مكافأة — والشركة اختارت الرقم بشكل مقصود. في مراجعتها الأمنية السنوية لـ 2015، كتبت Google: "مكافأتنا المالية الأولية لسانماي — 6,006.13 دولار — بتكتب كلمة Google بالأرقام (حدّق كويس وهتشوفها!). وبعدين ضاعفنا هذا المبلغ لما سانماي تبرع بمكافأته للجمعيات الخيرية." (اقرأها كأرقام: 6-0-0-6-1-3 → G-O-O-G-L-E.)

فيد اختار يتبرع بالفلوس. طلب إنها تروح لمؤسسة Art of Living India، اللي بتدعم مدارس مجانية في أنحاء الهند — ولما علمت Google بالتبرع، ضاعفت المكافأة، وبقى المجموع الإجمالي حوالي 12,012.26 دولار. تأطير فيد للموضوع كله لم يكن يوماً عن المبلغ. "أنا مش مهتم بالفلوس. الموضوع ما كانش عن الفلوس أبداً"، قال لـ Business Insider.

خطأ بـ 12 دولار بقى قصة عن مكافأة ذكية وتبرع كريم وشركة ضاعفته. لكن لو شلنا حسن النية جانباً، الحقيقة الجوهرية واضحة: مُسجِّل سلّم مفاتيح مملكته بنفسه، والحاجة الوحيدة اللي أعادتها كانت اكتشاف آلي سريع — ومشترٍ اتفق إنه كان أميناً.

إزاي تسجيل بالأهمية دي عدى من غير ما أحد يلاحظه؟

إزاي أهم نطاق على وجه الأرض ظهر بـ "متاح بـ 12 دولار" في منظومة بيع ذاتية؟

الإجابة الصادقة هي إن محدش خارج Google عنده التحليل الداخلي الكامل، ومش هنتظاهر بغير كده. لكن شكل الفشل ده مألوف لأي حد اشتغل بأنظمة النطاقات، ومن المهم نبقى دقيقين في اللي نقدر نقوله واللي مش نقدر.

اللي قابل للتحقق هو السلوك الظاهر. تقارير الوقت ده طرحت التفسيرين العاديين: "ممكن يكون خللاً في Google Domains أو ببساطة الشركة فشلت في تجديد اسم نطاقها لما جه الوقت." في الحالتين، لفترة قصيرة، منطق الواجهة اللي بيسأل "هل الاسم ده متاح للتسجيل؟" أعطى إجابة غلط لاسم كان المفروض يكون مكوّداً صراحةً كغير قابل للبيع.

الدرس الأعمق هو درس معماري. حماية النطاق بتكون بقدر أضعف مسار لتغييره. ممكن الـ registry تطبق رايات server-hold وتحظر النقل؛ وممكن المُسجِّل يقفل الاسم؛ وممكن المؤسسة تفعّل المصادقة متعددة العوامل وسير عمل الموافقة على مستوى المُسجِّل. لكن لو أي واجهة واحدة — سواء كانت checkout بيع بالتجزئة أو أداة إدارية داخلية أو تجاوز دعم أو نقطة API — تقدر تغيّر الملكية من غير ما يشتغل أي من هذه الحواجز، فالاسم ده آمن بقدر تلك الواجهة الأضعف وبس. نطاق الضرر من الاستيلاء على النطاق ضخم جداً (DNS والإيميل والشهادات وتسجيل الدخول)، لكن السطح اللي يشعله ممكن يكون ضيق جداً: نموذج واحد المفروض قال "لأ" وقال "أيوه" عوضاً عن كده.

التناقض ده هو جوهر المشكلة. القيمة على المحك هي الأقصى. الإجراء المطلوب لتحريكها ممكن يكون الأدنى.

اللي بتعلمنا إياه دي عن التحكم في النطاقات

عدد من الدروس الدائمة بتطلع من دقيقة الـ 12 دولار:

سجل المُسجِّل هو المفتاح الرئيسي. DNS وشهادات TLS وإمكانية تسليم البريد وتدفقات "تحقق إنك مالك هذا النطاق" كلها بتثق في التسجيل اللي تحتها. مَن بيتحكم في التسجيل بيتحكم في كل حاجة معلّقة عليه. احمِ تلك الطبقة زي ما بتحمي كلمة مرور الـ root لأنها فعلاً كده.
الأهمية والحماية مش مترابطين تلقائياً. ممكن تفترض إن أهم نطاق في العالم هو الأكتر تحصيناً. لدقيقة واحدة، لم يكن كده. الأهمية مش بتفرض نفسها؛ الأقفال الصريحة والحيازات وبوابات الموافقة هي اللي بتعمل كده. راجعها؛ لا تفترض وجودها.
مستوى التحكم أوسع من DNS. الناس بتأمّن الـ nameservers وبتنسى حساب المُسجِّل وقناة الدعم والإيميل المرتبط بالفاتورة والأدوات الداخلية. نطاق ممكن يتضيّع من أي باب يقدر يعيد كتابة الملكية — مش بس الباب اللي عليه "DNS".
في أغلب الأحيان شخص أمين واحد بيفصلك من الكارثة. Google كانت محظوظة لأن المشترى كان موظفاً سابقاً يهتم بالأمان وبلّغ على الفور. الأمان اللي بيعتمد على حسن نية مَن يعثر عليه ليس أماناً. النظام، مش الزائر، هو اللي المفروض يقول "لأ".
الاكتشاف السريع تحكم حقيقي. الاكتشاف الآلي اللي أخذ دقيقة تقريباً عند Google حدّ الضرر فعلاً. مش قادرين تمنعوا كل غلطة، لكن المراقبة الصارمة على تغييرات الملكية بتضيّق النافذة اللي فيها الزلة بتبقى اختراقاً.

الجزء المريح في القصة دي هو إن أنظمة Google لاحظت الموضوع وعكسته. الجزء اللي بيوجع هو إنها اضطرت لكده.

زاوية Namefi

رسم ملوّن لملكية نطاق قابلة للتحقق ومقاومة للتلاعب — بطاقة نطاق مؤمّنة بدرع أخضر وتوكن Namefi أخضر واستمرارية DNS

دقيقة الـ 12 دولار في جوهرها هي سؤال عن سجل: مَن هو المالك الموثّق لهذا الاسم دلوقتي، وقد أيه صعب تغيير ده بهدوء؟

في النموذج التقليدي، الإجابة بتعيش داخل قاعدة بيانات المُسجِّل، قابلة للتعديل من خلال أي واجهات يكشفها المُسجِّل — checkout بيع بالتجزئة أو تجاوز إداري أو تذكرة دعم أو API. معظم هذه الواجهات محمية جيداً. لكن الملكية آمنة بقدر الواجهة الأقل حماية، والمالك عادةً ميقدرش يشوف بشكل فوري اللحظة اللي فيها سجله بيتغير. سانماي فيد عرف إنه "يملك" google.com لأن صندوق بريده اضاء — مش لأن دفتر حسابات محكم أعلن نقلاً موثّقاً ومعتمداً.

Namefi بتنطلق من الفرضية إن ملكية النطاق المفروض تكون قابلة للتحقق وواضحة التلاعب، مش مدفونة في صف واحد قابل للتعديل. بتمثيل التحكم في النطاق كأصل مُرمَّز على البلوك تشين يبقى متوافقاً مع DNS، عملية "مَن يملك هذا النطاق" بتصبح حاجة تقدر تتحقق منها وتراجعها باستقلالية — ونقل الملكية بيبقى حدثاً صريحاً ومعتمداً وظاهراً بدلاً من checkout بينجح بهدوء. الهدف مش إن النطاقات تبقى غريبة؛ الهدف إن المفتاح الرئيسي يبقى أصعب يتسلّم لشخص غلط بالغلط، ومستحيل يتحرك من غير ما يسيب أثراً.

google.com رجعت في دقيقة لأن Google بنت اكتشافاً سريعاً فوق مبدأ هش. الإجابة الأفضل هي إن المبدأ نفسه يبقى جدير بالثقة: ملكية تقدر تثبتها، ونقل تقدر تشوفه، وتحكم ميعتمدش على نموذج واحد فاكر يقول "لأ".

المصادر وقراءة إضافية

Google Online Security Blog — Google Security Rewards — 2015 Year in Review (المصدر الأساسي لمكافأة الـ 6,006.13 دولار والتبرع المضاعف)
The American Bazaar — Google paid $6,006.13 to ex-Googler who registered "Google.com" (يقتبس مدونة Google حرفياً)
Slate — Ex-Googler Sanmay Ved bought the search engine's domain for one minute
Fox News — Student manages to buy domain name of Google.com for $12
Fox News — Why Google handed out a $6,006.13 reward
The Hacker News — Google Rewarded the Guy Who Accidentally Bought Google.com, But He Donated It to Charity
Security Affairs — Sanmay Ved who bought Google.com donates Google reward
Yahoo Finance — Google Briefly Lost Ownership Of Its Domain After It Was Mistakenly Sold For $12
Vocal Media — The Man Who Owned Google.com — for One Minute
Namefi — namefi.io