توييتر چگونه در مقابل بزرگ‌ترين هك خود ايستادگي كرد

پانزدهم جولاي روزي بود كه براي پاراگ آگراوال (مدير ارشد فناوري توييتر) كاملا معمولي شروع شد. همه چيز در اين شبكه اجتماعي عادي به ‌انديشه متخصصين مي‌رسيد؛ طرفداران بازيگرهاي مختلف در حال مباحثه با يكديگر بودند،‌ مردم از اينكه مترو لندن آثار هنري بانكسي را حذف كرده بود ابراز ناراحتي مي‌كردند و در كل، اكثر متخصصان كارهاي هميشگي خود را انجام مي‌دادند. آگراوال در دفتر خانگي خود، مكاني كه آن را با پسر جوانش به اشتراك گذاشته، مشغول كار كردن بود. او در حال انجام كارهاي هميشگي خود مانند نظارت به بهبود الگوريتم اصلي توييتر، مطمئن شدن از كار كردن همه‌ي قسمت‌هاي اين شبكه اجتماعي و مطالعه لحظه‌اي عملكرد آن بود. يكي از وظايف او مطالعه اشكالات مختلفي از قبيل انتشار اطلاعات نادرست در اين پلتفرم است.

اما اين آرامش و عادي بودن تا اواسط روز بيشتر ادامه نداشت؛ زيرا كم‌كم سينگال‌هايي منتشر شدند كه از وجود يك اشكال بزرگ در توييتر خبر مي‌دادند. گروهي در تلاش بود اطلاعات متخصصان را فيشينگ كند و طبق شواهدي كه تا آن لحظه كشف شده بود، اين افراد در كار خود مهارت زيادي داشتند. آن‌ها در حال فراخواني متخصصان بخش خدمات مصرفي و همراهي متخصص بودند و به آن‌ها دستور مي‌دادند رمزهاي عبور خود را ريست كنند. بسياري از متخصصان پيام‌هاي مذكور را به تيم امنيتي منتقل كردند و به كار خود بازگشتند. اما در اين ميان چند فرد ساده‌لوح، در خواست افراد سودجو را انجام دادند. آن‌ها به يك سايت ساختگي كه توسط هكرها كنترل مي‌شد منتقل شدند و بخش‌هايي را پر كردند كه اطلاعات نام متخصصي، رمز عبور و همچنين كد احراز هويت چندعاملي را كاملا دراختيار سودجويان قرار مي‌داد.

اندكي پس از آن، چندين حساب توييتر با آي‌دي‌ كوتاه مانند Vamipire ،drug و چند مورد ديگر به خطر افتادند. نام متخصصي‌ كوتاه موسوم (OG) در جوامع خاص هكرها به همان روشي ارزيابي مي‌شود كه آثار هنري امپرسيونيست ارزش‌گذاري مي‌شوند. اين بدان معنا است كه آي‌دي‌هاي مذكور داراي ارزش بالايي هستند و بايد بيشتر محافظت شوند. توييتر از اين مسئله اطلاع دارد و آن‌ها را در اوليت اصلي خود قرار مي‌دهد.

البته هنوز اين اشكال كه مدتي از شروع آن مي‌گذشت به گوش آگراوال نرسيده بود. توييتر يك تيم شناسايي و پاسخ اختصاصي دارد كه حوادث امنيتي را تحت كنترل مي‌گيرند و در سريع‌ترين زمان ممكن رفع مي‌كنند. اين گروه كه به اختصار DART ناميده مي‌شود، فعاليت‌هاي مشكوكي را كشف كرده بود؛ اما هنوز پاسخ‌هاي مورد نياز براي تشخيص و رفع آن محدود بود. هنگامي كه يك شبكه اجتماعي گسترده با صدها ميليون متخصص داشته باشيد كه از ربات‌هاي بي‌نام و نشان گرفته تا رهبر‌هاي جهان در آن حضور دارند، اين اتفاقات مدام رخ مي‌دهد؛ درنتيجه نيازي نيست زماني‌كه مي‌توانيد اشكالي را رفع كنيد، مدام اين اتفاقات را به مافوق خود اطلاع دهيد.

اما حدود ساعت ۳ بعدازظهر بود كه Binance‌ (صرافي الكترونيك رمزارز) با انتشار توييت عجيبي اعلام كرد در حال بازگرداندن حدود ۵۲ ميليون دلار بيت‌ كوين به جامعه است. در ادامه اين توييت يك آدرس وجود داشت كه متخصصان را به يك صفحه جعلي منتقل مي‌كرد. طي يك ساعت بعد، ۱۱ هزار حساب ارز رمزگذاري‌شده اين كار را انجام دادند. حدود ساعت ۴ بعدازظهر، ÷ نيز توييتي حاوي يك تكنيك كلاسيك كلاهبرداري بيت كوين در صفحه خود براي بيش از ۴۰ ميليون فالوورش منتشر كرد. چند دقيقه بعد بيل گيتس معروف نيز همين كار را انجام داد.

به‌زودي همه‌ي اعلان‌هاي دريافتي پاراگ آگراوال از پيام كوتاه گرفته تا رايانامه، اعلام مي‌كردند مسئله‌اي به‌طور بسيار وحشتناكي اشتباه است. نزديك ساعت ۵ بعد ازظهر توئيت‌ها سريع‌‌تر آمدند. اين بار حساب‌هاي بيشتري توييت‌هاي نامرتبط منتشر مي‌كردند؛ اوبر، اپل، كانيه وست، جف بزوس، مايك بلومبرگ و حتي دوباره ايلان ماسك. بله، توييتر مورد حمله قرار گرفته بود.

احساس طاقت‌فرساي ترس در همان لحظات اوليه گريبان‌گير مسئولان توييتر و متخصصان آن شد. حساب‌هاي پرطرفدار، مانند قربانيان سبك فيلم‌‌هاي اسلشر در حال نابودي بودند؛ بدون اينكه بدانند نفر بعدي ممكن است چه كسي باشد. اين سيستم عظيم به خطر افتاده بود و اكنون توييتر بايد مي‌فهميد چگونه مي‌توان اين مسئله را حل كند. آيا بايد توييتر را به‌طور كلي غيرفعال كرد؟ اگر برخي از حساب‌ها غيرفعال شوند چطور؟ آيا احتمال حمله داخلي وجود دارد و در حال‌ حاضر كسي قابل اعتماد است؟ همه افراد اين شركت احساس مي‌كردند بايد پاسخي ارائه دهند‌،؛ اما هيچ‌كس دقيقاً از نحوه انجام اين كار مطمئن نبود. آگراوال مي‌گويد در آن لحظات احساس خطر بسيار زيادي به دوش مي‌كشيد.

آن روز وحشتناك حتي مي‌توانست چشم‌انداز هراس‌انگيز‌تري نسبت به اين مسئله ايجاد كند؛ اگر كسي براي براندازي دموكراسي آمريكا اين پلتفرم را هك كرده باشد، چه؟ از همان لحظه، اين شركت تصميم گرفت تلاش خود را چند برابر كند تا بتواند سريع‌تر اشكال را كنار بزند. به همين دليل اكنون قابليت‌هاي امنيتي بيشتري در اين پلتفرم وجود دارند كه مي‌توانند به افزايش امنيت متخصصان و سيستم كمك بسياري كنند. درواقع توييتر حالا داراي پروتكل‌هاي امنيتي جديد، يادگيري‌هاي اجباري متخصصان و تغييراتي در سياست‌هاي خود است كه دليل اصلي آن، ۱۵ جولاي و هرج‌ومرجي است كه هكرها در توييتر ايجاد كردند.

روزي كه توييت‌‎هاي عجيبي از حساب‌هاي افراد و شركت‌هاي معروف دنيا منتشر مي‌شد و در آن‌ها محتواي مرتبط به كلاه‌برداري بيت‌ كوين وجود داشت، از پرهرج‌ومرج‌ترين ساعات تاريخ اين پلتفرم است.

در حالت ايده‌آل، سيستم‌هاي خودكار مشخص مي‌كردند چه گروهي در حال عوض كردن اطلاعات چندين حساب مختلف در يك بازه‌ي زماني بسيار كوتاه است. اما يكي از متخصص سابق بخش امنيت توييتر مي‌گويد اين شركت در سرمايه‌گذاري لازم براي استفاده از اين فناوري كُند عمل كرده و تهديدات احتمالي داخلي را ناديده گرفته است؛ درنتيجه استفاده از سيستم مذكور در چنين شرايطي براي توييتر مقدور نبود.

ازآنجاكه گروه امنيت توييتر نمي‌دانست اين حمله از كجا ناشي مي‌شود، پيش‌بيني فرد بعدي كه ممكن بود قرباني اين هكرها شود غير ممكن به ‌انديشه متخصصين مي‌رسيد. خاموش كردن سرويس به‌طور كامل هم عملي نبود. به گفته يكي از مديران سابق اين شركت، حتي مشخص نيست آيا واقعا توييتر در هر زماني‌كه بخواهد، توانايي انجام اين كار را دارد يا كلا چنين گزينه‌اي هيچ‌وقت در لحظه‌هاي فوق حساس عملي نخواهد شد. اما تا ساعت حدود ۶ بعدازظهر اين گروه يكي از سخت‌ترين تصميمات خود را گرفت. قرار شد براي محدودتر كردن اقدامات هكرها، تمام حساب‌هاي تأييدشده مسدود شوند. همچنين آن‌ها محدوديت بيشتري براي هر حسابي كه طي هفته‌‌هاي گذشته گذرواژه خود را تغيير داده بود، اعمال كردند.

پس از اين اقدام، هرج‌ومرجي به وجود آمد. بسياري از كساني كه هنوز مي‌توانستند توييت منتشر كنند، غيرفعال شدن حساب‌هاي كابري تأييد‌شده را جشن گرفتند. اين اقدام يك گلوگاه اطلاعاتي ايجاد كرد. سرويس ملي هواشناسي ديگر نمي‌توانست پست‌هاي مربوط به مشاوره‌ي گردباد را منتشر كند و شركت‌هاي رسانه‌اي از جمله WIRED قادر به انتشار اخبار مهم در رابطه با اين هك بزرگ نبودند. در اين حالت تنها حساب رسمي همراهي توييتر بود كه مي‌توانست به‌عنوان يك منبع قابل اعتماد براي متخصصان تلقي شود.

در داخل توييتر، آگراوال و تيمش با عصبانيت و استرس در حال كار روي راه‌هاي احتمالي جلوگيري از اين هك بودند. يك قانون در اين زمينه وجود دارد كه هرچه شبكه داخلي را تنگ‌تر كنيد، توانايي مقابله با كلاهبرداران كم‌تر مي‌شود. همچنين ديگر نمي‌توانيد سودجويان را رديابي كنيد يا بفهميد چه كسي در حال آسيب رساندن به شبكه شما است. بنابراين توييتر تصميم گرفت يك گام متوسط بردارد. قرار شد آن‌ها همه‌ي افراد را از VPN داخلي بيرون بيندازند. آن‌ها نمي‌خواستند همه اين كارها را يك‌باره انجام دهند؛ زيرا تيم پاسخ امنيتي نبايد دسترسي خود را از دست بدهد يا به دليل اينكه همه براي ورود مجدد به سايت هجوم مي‌آوردند، سيستم تحت فشار قرار گيرد.

در مرحله بعدي، آن‌ها فرايند جلب متخصصان را براي ورود به شرايطي كه متخصصان امنيتي از آن به‌عنوان محيط «اعتماد صفر» ياد مي‌كنند، آغاز كردند. اين كار از جك دورسي (مدير اجرايي توييتر) آغاز شد و سپس در چارت سازماني پايين آمد. در اين برنامه هر شخص نياز دارد كه با سرپرست خود وارد يك كنفرانس ويديويي شود و رمزهاي عبور خود را به‌صورت دستي تغيير دهد. درواقع شيوع ويروس كرونا باعث شده بود همه به‌صورت مجازي و با استفاده از وب كم اين كار را انجام دهند. آگراوال به‌سرعت جلسه‌اي با كل تيم اجرايي گذاشت تا مطمئن شود همه، همان كساني هستند كه ادعا مي‌كنند و فرد نفوذي در سيستم وجود ندارد.

ديمن كايران (مأمور محافظت از اطلاعات جهاني توييتر) مي‌گويد:

ما بايد تصور مي‌كرديم همه غير قابل اعتماد هستند. مديران مجبور بودند هر متخصص را ازطريق يك اسكريپت و يك سري تغييرات در رمز عبور، توسط نرم‌افزار داخلي شركت مطالعه كنند.

از انديشه متخصصين برخي از افراد خارجي، اين واكنش كمي زياد بود. الكس استاموس (مأمور ارشد امنيتي سابق فيسبوك) مي‌گويد از اينكه يك طرح فيشينگ مي‌تواند منجر به غيرفعال شدن كامل توييتر شود، شگفت‌زده شده است. با توجه ‌به درك او از سوابق عمومي، بهتر بود توييتر فقط گزارش‌هاي خود را تجزيه و تحليل كند و تنها حساب‌هاي متخصصي كه اين اشكال را ايجاد كرده‌اند غيرفعال كند.

يكي ديگر از متخصصان ارشد سابق توييتر تقريبا همين حرف را مي زند:

خرابي در سطح سيستم وجود داشت. كل اين قضيه نبايد اتفاق مي‌افتاد. اشكال اين نيست كه كسي فيشينگ شده است؛ مسئله اين است كه اگر چنين اتفاقي افتاد، شركت سيستم مناسب براي مقابله با آن را دراختيار داشته باشد.

توييتر پيش‌تر با چنين مسئله‌اي روبه‌رو شده است. جك دورسي كنترل حساب @Jack را از دست داده بود. اين حوادث عمدتاً از آسيب‌پذيري در برنامه‌هاي شخص ثالث يا حملاتي كه به SIM-swap معروف هستند هك ۱۵ جولاي متفاوت بود؛ زيرا بر سيستم‌هاي خود توييتر تأثير مي‌گذاشت. ادعا مي‌شود مغز متفكر آن نوجواني در فلوريدا است.

با توجه ‌به اتهامات ارائه‌شده توسط وزارت دادگستري و دادستاني ايالتي هيلزبورو، اين طرح توسط گراهام ايوان كلارك، نوجوان ۱۷ ساله از تامپاي فلوريدا كه در كلاهبرداري از متخصصان ماينكرافت تخصص داشت‌، تنظيم شده بود. البته كلارك با يك گروه علاقه‌مند به ‌نام‌هاي متخصصي كوتاه به ‌نام OGUsers نيز آشنايي داشت. يك فرد ديگر به‌ نام نيما فاضلي جزو هم‌دستان احتمالي اين نوجوان است.

ادعا مي‌شود كلارك با كمك فاضلي و واسطه ديگري، هزاران دلار براي دسترسي مستقيم به حساب‌ها پرداخت كرده است. او ديگر اين بار قرار نبود سراغ حساب متخصصان ساده‌ي ماينكرافت برود؛ اكنون هدف او اشخاص چند ميليارد دلاري بودند.

طبق گفته دادستان‌هاي پرونده، كلارك بخشي از برنامه اوليه خود را ارتقا داد. براي مثال او به اين نتيجه رسيد كه تصاحب حساب @Kanyewest جذاب‌تر از @SC است. او در كلاهبرداري اوليه بيت كوين خود حدود ۱۱۷ هزار دلار درآمد كسب كرد. مسئولان در حال انجام تحقيقات بيشتر در پرونده‌ي وي هستند.

به ‌انديشه متخصصين مي‌رسد توييتر دوباره قرباني حمله مشابهي نشود. آليسون نيكسون (مدير ارشد تحقيقات شركت امنيتي Unit 221B) كه FBI را در تحقيقات خود ياري كرد، مي‌گويد تعداد متخصصان با آي‌دي‌ كوتاه پايين است؛ اما اين بدان معنا نيست كه خيال توييتر مي‌تواند در اين زمينه راحت باشد.

يكي از بزرگ‌ترين تغييراتي كه اين شركت اعمال كرده اجبار همه متخصصان به استفاده از احراز هويت دوعاملي است. البته توييتر اين كار پيش‌تر شروع كرده بود؛ اما اكنون سرعت اجراي برنامه را افزايش داده است. در عرض چند هفته، همه افراد در توييتر، از جمله پيمانكاران، يك كليد امنيتي دارند و ملزم به استفاده از آن هستند.

اين شركت همچنين به بيرون از خود نگاهي انداخته و شرايط سختگيرانه‌تري براي رمز ورود متخصصاني مانند سياستمداران، كمپين‌ها و روزنامه‌نگاران سياسي كه در معرض خطر بيشتري هستند اعمال كرده است. جان آدامز (مهندس سابق امنيت توييتر) گفته است اين معيار بايد در هر حسابي با بيش از ۱۰ هزار دنبال‌كننده اعمال شود.

وظيفه‌ي اصلي توييتر محافظت از متخصصان  است و اميدواريم با اتفاقي كه يك نوجوان ۱۷ ساله براي آن رقم زد، مسئولان اين شركت اقدامات جدي‌تري براي ايمني پلتفرم خود انجام دهند.