Namefi

Domain Mayday EP03: اختراق حسابات تويتر بالبيتكوين عام 2020

في 15 يوليو 2020، تمكّن مهاجمون من اختراق تويتر عن طريق مكالمة تليفونية، واستولوا على حسابات موثّقة لأوباما وبايدن وماسك وجيتس وآبل وأوبر، ونفّذوا عملية احتيال بالبيتكوين جمعوا فيها نحو 118 ألف دولار. تحليل معمّق لكيفية سرقة هوية رقمية، وما يمكن تعلّمه عن امتلاك اسم على الإنترنت.

نُشر في ١٧ يونيو ٢٠٢٦بقلم فريق Namefi
  • domains
  • security
  • dns
  • domain-security
Domain Mayday EP03: اختراق حسابات تويتر بالبيتكوين عام 2020

لساعات قليلة في ظهيرة أحد أيام الأربعاء، بدأت أكثر الأصوات موثوقية على الإنترنت كلها تقول الشيء ذاته: أرسل لي بيتكوين وهأبعتهولك ضعف.

باراك أوباما قالها. جو بايدن قالها. إيلون ماسك قالها. بيل جيتس وجيف بيزوس وكانيي ويست وآبل وأوبر — الحسابات الموثّقة بالعلامة الزرقاء، اللي مئات الملايين من الناس اتعودوا يصدّقوها — كلها نشرت نفس عملية الاحتيال البدائية بالعملات الرقمية، بنفس الكلام تقريبًا. ما حدّ من دول كتب حرف واحد. الحسابات هي اللي كتبت، لأن حد تاني كان شايل المفاتيح.

دي Domain Mayday EP03. الحلقتين الأوليين كانتا عن الأسماء — مين يمتلكها ومين ممكن ياخدها. الحلقة دي عن نفس السؤال بس بشكل مختلف. اسم تويتر، والشارة الموثّقة، واسم النطاق — كل واحد فيهم ادّعاء بهوية معيّنة بيصدّقه الناس. وفي 15 يوليو 2020، أثبت المهاجمون إن الأمر ما بيحتاجش كتير عشان تسطو على الادّعاء ده — مش بمالوير أو ثغرات zero-day، بل بمكالمة تليفونية.

الثقة اللي بتسكن في اسم المستخدم

الحساب الموثّق هو اختصار للثقة. لما @BarackObama بيتويت، مش بتتحقق إنه هو بالفعل؛ الاسم مع الشارة هو التحقق. الاختصار ده له قيمة هائلة — وهشاشة هائلة كمان، لأن كل الثقة بتتراكم على الحساب، بينما التحكم في الحساب ممكن يكون في مكان تاني خالص.

الموضوع نفس هيكل اسم النطاق. whitehouse.gov موثوق فيه مش لأن كل زائر بيفحص سلسلة الشهادات، لكن لأن الاسم نفسه بيحمل السلطة. تتحكم في الاسم ده — عند شركة التسجيل، في إعدادات DNS، في لوحة الإدارة — وهتورث كل الثقة اللي الناس ضختها فيه على طول، سواء كان إبتداءً بتاعتك أو لأ.

اختراق تويتر 2020 هو أوضح مثال عندنا على الفجوة دي بين الثقة والتحكم. الجهاز المالي التنظيمي في نيويورك، اللي حقّق في القضية لأن شركات عملات مشفّرة خاضعة للرقابة كانت من الضحايا، صرّح بصراحة: الهجوم كان "قصة تحذيرية عن الأضرار الجسيمة اللي ممكن يسببها حتى مجرمو الإنترنت غير المتطورين."

15 يوليو 2020: الاستيلاء

فن مفاهيمي ملوّن ومشرق لمفتاح رئيسي واحد مضيء يفتح جدارًا ضخمًا من الشارات الزرقاء الموثّقة المتماثلة، كل شارة بتنفتح بالتسلسل

الأمر حصل بسرعة وفي وضح النهار. وفق ما وثّقته ويكيبيديا، "في 15 يوليو 2020، بين الساعة 20:00 و22:00 بتوقيت UTC، اُخترق 130 حسابًا رفيع المستوى على تويتر."

تقرير قسم الخدمات المالية في نيويورك (DFS) يوضّح التسلسل. المهاجمون بدأوا بالعملات المشفّرة أوّلًا: "المخترقون تلاعبوا في البداية بحسابات تويتر المرتبطة بشركات وأفراد معروفين في عالم العملات المشفّرة"، بزرع رسائل مباشرة وتغريدات تشير لمحفظة بيتكوين. ثم صعّدوا: "المخترقون رفعوا الرهانات بشكل كبير واستهدفوا حسابات موثّقة بملايين المتابعين."

قائمة الحسابات المتضررة تبدو كقائمة مدعوين لأكثر الحسابات ثقةً على المنصة. ويكيبيديا تذكر إن "الحسابات المخترقة تضمّنت حسابات شخصيات بارزة كباراك أوباما وجو بايدن وبيل جيتس وجيف بيزوس... وشركات كآبل وأوبر وCash App."

الرسالة كانت متطابقة وسخيفة البساطة. من حساب آبل، كما وثّقته ويكيبيديا: "نحن نعطي المجتمع حقّه. نحن ندعم البيتكوين ونؤمن إنك لازم تدعمه كمان! كل بيتكوين يُرسَل لعناويننا هيترسَّل لك ضعفين!" نفس العرض، متكرّر على عشرات من أكثر الأفواه مصداقية في العالم في وقت واحد.

مش كل الحسابات اتُستخدمت. من بين الـ130 حسابًا اللي اتلمست، وجد المنظّم إن "إجمالًا 130 حساب تويتر اتُخترق خلال الاختراق. من بينها، 45 حسابًا استُخدمت لإرسال تغريدات." خمسة وأربعون مكبّر صوت كانوا أكثر من كافيين.

اللي اتخسر فعلًا

بالأرقام المجرّدة، الغنيمة كانت صغيرة. تقرير DFS يذكر إن "المخترقون سرقوا ما قيمته 118 ألف دولار تقريبًا من البيتكوين خلال اختراق تويتر." ويكيبيديا تشير إلى أن محفظة احتيال واحدة "استقبلت أكثر من 320 إيداعًا بقيمة تتجاوز 110 آلاف دولار أمريكي قبل إزالة رسائل الاحتيال." بالنسبة لاختراق بهذا الحجم، 118 ألف دولار مبلغ محرج في تواضعه.

لكن الرقم ده بيقلّل جدًا من الخسارة الحقيقية. اللي وقع فعلًا بعد الظهر ده هو مصداقية الشارة الموثّقة كإشارة ثقة. لساعتين، العلامة الزرقاء لم تثبت شيئًا. طبقة الهوية الكاملة للمنصة — الشيء اللي كان يخليك تصدّق إن التغريدة جت من الشخص اللي اسمه عليها — كانت بوضوح وفي وقت واحد قابلة للسيطرة من مراهق. ردّ فعل تويتر كان واضحًا: جمّدوا مؤقتًا قدرة كتير من الحسابات الموثّقة على التغريد خالص. الطريقة الوحيدة لوقف الحسابات الموثوقة عن الكذب كانت إسكاتها.

دي التكلفة الحقيقية لسرقة الهوية. الفلوس ملاحظة هامشية. الضرر هو إن "الحساب ده = الشخص ده" بيبطل يكون صح، وكل واحد يعتمد على المعادلة دي بيبقى مكشوفًا.

إزاي حصل: مكالمة تليفونية ثم لوحة إدارة

فن مفاهيمي ملوّن ومشرق لسماعة تليفون ملقاة كسنّارة صيد، خطّافها بيمسك بلوحة تحكم داخلية مضيئة مليانة مفاتيح

ما كانش في أي ثغرة برمجية. تقرير DFS صريح: "اختراق تويتر لم يتضمّن أيًا من الأساليب التقنية المتطوّرة المستخدمة في هجمات الإنترنت عادةً — لا مالوير، ولا ثغرات، ولا أبواب خلفية." بدلًا من كده، "استخدم المخترقون أساليب أبسط أشبه بأساليب النصّاب التقليدي: مكالمات هاتفية ادّعوا فيها أنهم من قسم تكنولوجيا المعلومات في تويتر."

ده هو vishing — التصيد الصوتي. المهاجمون "اتصلوا بعدد من موظفي تويتر وادّعوا إنهم بيتصلوا من مكتب المساعدة في قسم IT بتويتر"، و"ادّعوا إنهم بيردّوا على مشكلة تقنية الموظف بيواجهها مع الشبكة الافتراضية الخاصة بتويتر." تويتر نفسها وصفته لاحقًا بأنه "هجوم تصيد صوتي موجَّه" قام على "محاولة جادة ومنسّقة لتضليل موظفين بعينهم واستغلال الثغرات البشرية."

عامل الإقناع كان البحث، مش المهارة التقنية. كما وثّق الصحفي الأمني Brian Krebs، المهاجمون اعتمدوا على بيانات الملفات الشخصية — أسماء وأدوار وتفاصيل شخصية مسحوبة من LinkedIn وتسريبات بيانات سابقة — عشان يبدوا زي زملاء حقيقيين. لمّا الموظف آمن بالمتصل، سلّم له بياناته، والبيانات فتحت الباب للجائزة: أدوات إدارة الحسابات الداخلية عند تويتر.

الأداة دي هي محور الحكاية كلها. Krebs أفاد إن "في أدوات الإدارة عند تويتر، يبدو ممكن إنك تحدّث البريد الإلكتروني لأي مستخدم تويتر" — تغيّر البريد، تطلب إعادة تعيين كلمة السر، والحساب بقى بتاعك، الشارة وكل حاجة. تقرير DFS بيشير للإخفاق الهيكلي اللي خلّى موظفًا واحدًا متأثرًا بمصيبة كبيرة: "تويتر فعلًا قيّدت الوصول للأدوات الداخلية، لكن أكثر من 1000 موظف في تويتر كانوا لا يزالون يملكون الوصول إليها." أكثر من ألف شخص بيمسكوا مفتاحًا رئيسيًا لكل هوية على المنصة، والشركة ما كانتش عندها مسؤول أمن معلومات رئيسي يشرف عليه — تويتر "ما كانتش عندها مسؤول أمن معلومات رئيسي (CISO) منذ ديسمبر 2019، سبعة أشهر قبل اختراق تويتر."

كان في سوق تحت كل ده كمان. قبل ما عملية الاحتيال بالمشاهير تنطلق، الفريق كان مشغول ببيع أسماء مستخدمين قصيرة "OG" مسروقة. Krebs لاحظ إنه قبل هجمة أوباما/بايدن/ماسك/جيتس، "عدد من أسماء حسابات تويتر القصيرة المرغوبة غيّرت أصحابها"، لأن في هذه المجتمعات "أسماء الملفات الشخصية القصيرة تمنح قدرًا من المكانة والثروة" و"كثيرًا ما تُباع بآلاف الدولارات." أسماء ذات قيمة بسبب ندرتها، تُسرق وتُعاد بيعتها في منتدى — نمط يعرفه أي مستثمر في النطاقات على طول.

التداعيات والاعتقالات

الانهيار كان سريعًا تقريبًا بنفس سرعة الاختراق. في غضون أسبوعين، تحرّك المدّعون العامون. Krebs أفاد بالتهم: "Mason 'Chaewon' Sheppard، شاب يبلغ 19 عامًا من Bognor Regis في المملكة المتحدة، وُجّهت إليه تهم في كاليفورنيا بالتآمر لارتكاب الاحتيال الإلكتروني وغسيل الأموال والوصول غير المصرّح به لحاسوب"، و"Nima 'Rolex' Fazeli، شاب يبلغ 22 عامًا من أورلاندو بولاية فلوريدا، وُجّهت إليه تهمة المساعدة والتحريض على الوصول المتعمّد لحاسوب محمي في شكوى جنائية في شمال كاليفورنيا."

لكن الزعيم المزعوم كان أصغر منهم. "Graham Clark البالغ من العمر 17 عامًا من تامبا بولاية فلوريدا كان من بين المتهمين في اختراق تويتر بتاريخ 15 يوليو"، وبما إنه قاصر اتهامه كان من النيابة العامة لولاية فلوريدا وليس من المحكمة الفيدرالية. "وُجّهت إليه 30 تهمة جنائية، من بينها الاحتيال المنظّم والاحتيال في الاتصالات."

في مارس التالي، قبل Clark التسوية. CyberScoop أفاد إنه "اعترف بتدبيره مخطط سرق فيه أكثر من 117 ألف دولار باستيلائه على حسابات تويتر لعدد من الشخصيات العامة." محطة الراديو العامة WUSF أفادت بالحكم: "ثلاث سنوات في مؤسسة إصلاحية للأحداث يعقبها ثلاث سنوات مراقبة"، وأشارت إلى إنه "الحد الأقصى المسموح به بموجب قانون مرتكبي الجرائم من الشباب في الولاية."

شخصية رابعة ظهرت بعدين. ويكيبيديا توثّق إن "في أبريل 2023، اتُّرحل Joseph James O'Connor، البالغ من العمر 23 عامًا والمواطن البريطاني المعروف بـPlugwalkJoe، من إسبانيا إلى نيويورك لمواجهة التهم"، وصدر بحقه لاحقًا حكم بالسجن خمس سنوات فيدراليًا.

اللي بيعلّمنا إياه عن التحكم في الهوية الرقمية

لو شلنا أسماء المشاهير والعملات المشفّرة، اختراق تويتر 2020 هو درس نقي في الفرق بين امتلاك هوية والتحكم فيها. عدد من المبادئ بتخرج منه:

  1. الثقة بتتراكم على الاسم؛ التحكم بيسكن في الكواليس. مئات الملايين كانوا يثقون في @BarackObama. ما حدّش من الثقة دي حمت الحساب، لأن سطح التحكم في الحساب كان لوحة إدارة داخلية أكثر من ألف موظف يقدروا يوصلوها. مين يتحكم في الكواليس، يتحكم في الهوية، مهما كان اسم من على الواجهة.

  2. الحلقة الأضعف مش التشفير تقريبًا أبدًا. لا ثغرة، لا مالوير، لا باب خلفي — بس مكالمة تليفونية مقنعة. أنظمة الهوية بتفشل على مستوى الإنسان والعملية أكثر بكتير من مستوى الرياضيات. قفل مثالي على باب أي موظف متعاون هيفتحه عند أول طلب مش قفل حقيقي.

  3. نقطة التحكم الواحدة الكاملة هي نقطة الفشل الكاملة. أداة داخلية واحدة قابلة لإعادة الاستخدام تقدر تغيّر البريد الإلكتروني على أي حساب معناها موظف واحد متأثر يساوي استيلاء على المنصة كلها. التحكم المركّز والقابل للعكس والغامض هو الثغرة.

  4. الأسماء النادرة هدف. نفس الفريق اللي اختطف الرؤساء باع بهدوء أسماء مستخدمين قصيرة "OG" بآلاف الدولارات. الأسماء القيّمة بتجذب السرقة، وقيمة الاسم بالظبط هي اللي بتخلّي التحكم فيه يستاهل السرقة.

  5. الاسترداد ما ينفعش يعتمد على كرم المنصة. لمّا الحسابات الموثوقة بدأت تكذب، الحل الوحيد عند تويتر كان تجميدها. أصحاب الهوية ما كانوش عندهم طريقة مستقلة يثبتوا بيها "ده أنا الحقيقي" أو يستردّوا التحكم — كانوا يعتمدون بالكامل على الأدوات الداخلية وحسن نية مشغّل مركزي.

الزاوية من منظور Namefi

رسم توضيحي ملوّن للملكية القابلة للتحقق والمقاومة للتلاعب لهوية رقمية — مؤمَّنة بدرع أخضر ورمز Namefi الأخضر والاستمرارية

اسم النطاق هو هوية رقمية بنفس الفجوة تمامًا بين الثقة والتحكم اللي كانت عند أسماء تويتر الموثّقة — وغالبًا بنفس نوع الكواليس الغامضة. بالنسبة لمعظم النطاقات، "الملكية" ساكنة في حساب عند شركة التسجيل، محميّ بكلمة سر وفريق دعم. مكالمة هاتفية مقنعة، أو موظف دعم تعرّض للهندسة الاجتماعية، أو تغيير بريد إلكتروني تمّ عبر لوحة داخلية — سيناريو اختراق تويتر 2020 ينطبق تقريبًا حرفيًا على الاستيلاء على حساب شركة تسجيل النطاقات. الثقة اللي العالم ضخّها في نطاقك مش بتحميه لو التحكم في النطاق ده واقف ورا مكتب مساعدة يمكن تقنعه بأي حاجة.

Namefi موجودة عشان تسدّ الفجوة دي. الفكرة الأساسية إن التحكم في النطاق يكون قابلًا للتحقق ومحتفظًا به من قبل المالك، مش إعداد في أداة إدارة حد تاني. بتمثيل ملكية النطاق كأصل رمزي على البلوكتشين متوافق مع DNS، Namefi بتخلّي سؤال "مين يتحكم في الاسم ده؟" قابلًا للإجابة كريبتوغرافيًا بدلًا من أن يعتمد على حكم موظف دعم تحت ضغط. ما فيش لوحة داخلية واحدة ألف موظف يقدروا يوصلوها عشان يعيدوا تسجيل اسمك بصمت؛ إثبات التحكم بيسكن مع المالك، والتحويلات قابلة للمراجعة وليست مرتجلة.

اختراق تويتر 2020 نجح لأن الهوية والتحكم اتفصلوا بهدوء — الاسم كان بيقول حاجة بينما أداة إدارة مخفية كانت تقرّر حاجة تانية. الدرس لأي حد بيعتمد على اسم هو إن التحكم يكون واضحًا وراسخًا في يد المالك بنفس مستوى الثقة اللي الاسم بيحملها. اسم المستخدم، والشارة، والنطاق — كل واحد فيهم آمن بقدر أمان الكواليس اللي وراه. رهان Namefi إن الكواليس يكون دفترًا موثوقًا قابلًا للتحقق تتحكم فيه أنت، مش خط هاتف ممكن حد تاني يتخدع عشان يردّ عليه.

المصادر والقراءة الإضافية

عن الكاتب/الكاتبة

فريق Namefi
فريق Namefi • Namefi
TwitterLinkedIn

يضم Namefi مهندسين ومصممين ومشغلين شغوفين بتطوير أدوات تجعل إدارة أسماء النطاقات على السلسلة أكثر سهولة وسلاسة.

أدلة ذات صلة