توييتر چگونه در مقابل بزرگترين هك خود ايستادگي كرد
پانزدهم جولاي روزي بود كه براي پاراگ آگراوال (مدير ارشد فناوري توييتر) كاملا معمولي شروع شد. همه چيز در اين شبكه اجتماعي عادي به انديشه متخصصين ميرسيد؛ طرفداران بازيگرهاي مختلف در حال مباحثه با يكديگر بودند، مردم از اينكه مترو لندن آثار هنري بانكسي را حذف كرده بود ابراز ناراحتي ميكردند و در كل، اكثر متخصصان كارهاي هميشگي خود را انجام ميدادند. آگراوال در دفتر خانگي خود، مكاني كه آن را با پسر جوانش به اشتراك گذاشته، مشغول كار كردن بود. او در حال انجام كارهاي هميشگي خود مانند نظارت به بهبود الگوريتم اصلي توييتر، مطمئن شدن از كار كردن همهي قسمتهاي اين شبكه اجتماعي و مطالعه لحظهاي عملكرد آن بود. يكي از وظايف او مطالعه اشكالات مختلفي از قبيل انتشار اطلاعات نادرست در اين پلتفرم است.
اما اين آرامش و عادي بودن تا اواسط روز بيشتر ادامه نداشت؛ زيرا كمكم سينگالهايي منتشر شدند كه از وجود يك اشكال بزرگ در توييتر خبر ميدادند. گروهي در تلاش بود اطلاعات متخصصان را فيشينگ كند و طبق شواهدي كه تا آن لحظه كشف شده بود، اين افراد در كار خود مهارت زيادي داشتند. آنها در حال فراخواني متخصصان بخش خدمات مصرفي و همراهي متخصص بودند و به آنها دستور ميدادند رمزهاي عبور خود را ريست كنند. بسياري از متخصصان پيامهاي مذكور را به تيم امنيتي منتقل كردند و به كار خود بازگشتند. اما در اين ميان چند فرد سادهلوح، در خواست افراد سودجو را انجام دادند. آنها به يك سايت ساختگي كه توسط هكرها كنترل ميشد منتقل شدند و بخشهايي را پر كردند كه اطلاعات نام متخصصي، رمز عبور و همچنين كد احراز هويت چندعاملي را كاملا دراختيار سودجويان قرار ميداد.
آغاز حمله هكرها به توييتر
اندكي پس از آن، چندين حساب توييتر با آيدي كوتاه مانند Vamipire ،drug و چند مورد ديگر به خطر افتادند. نام متخصصي كوتاه موسوم (OG) در جوامع خاص هكرها به همان روشي ارزيابي ميشود كه آثار هنري امپرسيونيست ارزشگذاري ميشوند. اين بدان معنا است كه آيديهاي مذكور داراي ارزش بالايي هستند و بايد بيشتر محافظت شوند. توييتر از اين مسئله اطلاع دارد و آنها را در اوليت اصلي خود قرار ميدهد.
البته هنوز اين اشكال كه مدتي از شروع آن ميگذشت به گوش آگراوال نرسيده بود. توييتر يك تيم شناسايي و پاسخ اختصاصي دارد كه حوادث امنيتي را تحت كنترل ميگيرند و در سريعترين زمان ممكن رفع ميكنند. اين گروه كه به اختصار DART ناميده ميشود، فعاليتهاي مشكوكي را كشف كرده بود؛ اما هنوز پاسخهاي مورد نياز براي تشخيص و رفع آن محدود بود. هنگامي كه يك شبكه اجتماعي گسترده با صدها ميليون متخصص داشته باشيد كه از رباتهاي بينام و نشان گرفته تا رهبرهاي جهان در آن حضور دارند، اين اتفاقات مدام رخ ميدهد؛ درنتيجه نيازي نيست زمانيكه ميتوانيد اشكالي را رفع كنيد، مدام اين اتفاقات را به مافوق خود اطلاع دهيد.
اولين قدم بزرگ در راستاي حمله فيشينگ در توييتر
اما حدود ساعت ۳ بعدازظهر بود كه Binance (صرافي الكترونيك رمزارز) با انتشار توييت عجيبي اعلام كرد در حال بازگرداندن حدود ۵۲ ميليون دلار بيت كوين به جامعه است. در ادامه اين توييت يك آدرس وجود داشت كه متخصصان را به يك صفحه جعلي منتقل ميكرد. طي يك ساعت بعد، ۱۱ هزار حساب ارز رمزگذاريشده اين كار را انجام دادند. حدود ساعت ۴ بعدازظهر، ÷ نيز توييتي حاوي يك تكنيك كلاسيك كلاهبرداري بيت كوين در صفحه خود براي بيش از ۴۰ ميليون فالوورش منتشر كرد. چند دقيقه بعد بيل گيتس معروف نيز همين كار را انجام داد.
بهزودي همهي اعلانهاي دريافتي پاراگ آگراوال از پيام كوتاه گرفته تا رايانامه، اعلام ميكردند مسئلهاي بهطور بسيار وحشتناكي اشتباه است. نزديك ساعت ۵ بعد ازظهر توئيتها سريعتر آمدند. اين بار حسابهاي بيشتري توييتهاي نامرتبط منتشر ميكردند؛ اوبر، اپل، كانيه وست، جف بزوس، مايك بلومبرگ و حتي دوباره ايلان ماسك. بله، توييتر مورد حمله قرار گرفته بود.
احساس طاقتفرساي ترس در همان لحظات اوليه گريبانگير مسئولان توييتر و متخصصان آن شد. حسابهاي پرطرفدار، مانند قربانيان سبك فيلمهاي اسلشر در حال نابودي بودند؛ بدون اينكه بدانند نفر بعدي ممكن است چه كسي باشد. اين سيستم عظيم به خطر افتاده بود و اكنون توييتر بايد ميفهميد چگونه ميتوان اين مسئله را حل كند. آيا بايد توييتر را بهطور كلي غيرفعال كرد؟ اگر برخي از حسابها غيرفعال شوند چطور؟ آيا احتمال حمله داخلي وجود دارد و در حال حاضر كسي قابل اعتماد است؟ همه افراد اين شركت احساس ميكردند بايد پاسخي ارائه دهند،؛ اما هيچكس دقيقاً از نحوه انجام اين كار مطمئن نبود. آگراوال ميگويد در آن لحظات احساس خطر بسيار زيادي به دوش ميكشيد.
آن روز وحشتناك حتي ميتوانست چشمانداز هراسانگيزتري نسبت به اين مسئله ايجاد كند؛ اگر كسي براي براندازي دموكراسي آمريكا اين پلتفرم را هك كرده باشد، چه؟ از همان لحظه، اين شركت تصميم گرفت تلاش خود را چند برابر كند تا بتواند سريعتر اشكال را كنار بزند. به همين دليل اكنون قابليتهاي امنيتي بيشتري در اين پلتفرم وجود دارند كه ميتوانند به افزايش امنيت متخصصان و سيستم كمك بسياري كنند. درواقع توييتر حالا داراي پروتكلهاي امنيتي جديد، يادگيريهاي اجباري متخصصان و تغييراتي در سياستهاي خود است كه دليل اصلي آن، ۱۵ جولاي و هرجومرجي است كه هكرها در توييتر ايجاد كردند.
روزي كه توييتهاي عجيبي از حسابهاي افراد و شركتهاي معروف دنيا منتشر ميشد و در آنها محتواي مرتبط به كلاهبرداري بيت كوين وجود داشت، از پرهرجومرجترين ساعات تاريخ اين پلتفرم است.
در حالت ايدهآل، سيستمهاي خودكار مشخص ميكردند چه گروهي در حال عوض كردن اطلاعات چندين حساب مختلف در يك بازهي زماني بسيار كوتاه است. اما يكي از متخصص سابق بخش امنيت توييتر ميگويد اين شركت در سرمايهگذاري لازم براي استفاده از اين فناوري كُند عمل كرده و تهديدات احتمالي داخلي را ناديده گرفته است؛ درنتيجه استفاده از سيستم مذكور در چنين شرايطي براي توييتر مقدور نبود.
اقدامات توييتر براي مقابله با هكرها
ازآنجاكه گروه امنيت توييتر نميدانست اين حمله از كجا ناشي ميشود، پيشبيني فرد بعدي كه ممكن بود قرباني اين هكرها شود غير ممكن به انديشه متخصصين ميرسيد. خاموش كردن سرويس بهطور كامل هم عملي نبود. به گفته يكي از مديران سابق اين شركت، حتي مشخص نيست آيا واقعا توييتر در هر زمانيكه بخواهد، توانايي انجام اين كار را دارد يا كلا چنين گزينهاي هيچوقت در لحظههاي فوق حساس عملي نخواهد شد. اما تا ساعت حدود ۶ بعدازظهر اين گروه يكي از سختترين تصميمات خود را گرفت. قرار شد براي محدودتر كردن اقدامات هكرها، تمام حسابهاي تأييدشده مسدود شوند. همچنين آنها محدوديت بيشتري براي هر حسابي كه طي هفتههاي گذشته گذرواژه خود را تغيير داده بود، اعمال كردند.
پس از اين اقدام، هرجومرجي به وجود آمد. بسياري از كساني كه هنوز ميتوانستند توييت منتشر كنند، غيرفعال شدن حسابهاي كابري تأييدشده را جشن گرفتند. اين اقدام يك گلوگاه اطلاعاتي ايجاد كرد. سرويس ملي هواشناسي ديگر نميتوانست پستهاي مربوط به مشاورهي گردباد را منتشر كند و شركتهاي رسانهاي از جمله WIRED قادر به انتشار اخبار مهم در رابطه با اين هك بزرگ نبودند. در اين حالت تنها حساب رسمي همراهي توييتر بود كه ميتوانست بهعنوان يك منبع قابل اعتماد براي متخصصان تلقي شود.
در داخل توييتر، آگراوال و تيمش با عصبانيت و استرس در حال كار روي راههاي احتمالي جلوگيري از اين هك بودند. يك قانون در اين زمينه وجود دارد كه هرچه شبكه داخلي را تنگتر كنيد، توانايي مقابله با كلاهبرداران كمتر ميشود. همچنين ديگر نميتوانيد سودجويان را رديابي كنيد يا بفهميد چه كسي در حال آسيب رساندن به شبكه شما است. بنابراين توييتر تصميم گرفت يك گام متوسط بردارد. قرار شد آنها همهي افراد را از VPN داخلي بيرون بيندازند. آنها نميخواستند همه اين كارها را يكباره انجام دهند؛ زيرا تيم پاسخ امنيتي نبايد دسترسي خود را از دست بدهد يا به دليل اينكه همه براي ورود مجدد به سايت هجوم ميآوردند، سيستم تحت فشار قرار گيرد.
در مرحله بعدي، آنها فرايند جلب متخصصان را براي ورود به شرايطي كه متخصصان امنيتي از آن بهعنوان محيط «اعتماد صفر» ياد ميكنند، آغاز كردند. اين كار از جك دورسي (مدير اجرايي توييتر) آغاز شد و سپس در چارت سازماني پايين آمد. در اين برنامه هر شخص نياز دارد كه با سرپرست خود وارد يك كنفرانس ويديويي شود و رمزهاي عبور خود را بهصورت دستي تغيير دهد. درواقع شيوع ويروس كرونا باعث شده بود همه بهصورت مجازي و با استفاده از وب كم اين كار را انجام دهند. آگراوال بهسرعت جلسهاي با كل تيم اجرايي گذاشت تا مطمئن شود همه، همان كساني هستند كه ادعا ميكنند و فرد نفوذي در سيستم وجود ندارد.
ديمن كايران (مأمور محافظت از اطلاعات جهاني توييتر) ميگويد:
ما بايد تصور ميكرديم همه غير قابل اعتماد هستند. مديران مجبور بودند هر متخصص را ازطريق يك اسكريپت و يك سري تغييرات در رمز عبور، توسط نرمافزار داخلي شركت مطالعه كنند.
از انديشه متخصصين برخي از افراد خارجي، اين واكنش كمي زياد بود. الكس استاموس (مأمور ارشد امنيتي سابق فيسبوك) ميگويد از اينكه يك طرح فيشينگ ميتواند منجر به غيرفعال شدن كامل توييتر شود، شگفتزده شده است. با توجه به درك او از سوابق عمومي، بهتر بود توييتر فقط گزارشهاي خود را تجزيه و تحليل كند و تنها حسابهاي متخصصي كه اين اشكال را ايجاد كردهاند غيرفعال كند.
يكي ديگر از متخصصان ارشد سابق توييتر تقريبا همين حرف را مي زند:
خرابي در سطح سيستم وجود داشت. كل اين قضيه نبايد اتفاق ميافتاد. اشكال اين نيست كه كسي فيشينگ شده است؛ مسئله اين است كه اگر چنين اتفاقي افتاد، شركت سيستم مناسب براي مقابله با آن را دراختيار داشته باشد.
توييتر پيشتر با چنين مسئلهاي روبهرو شده است. جك دورسي كنترل حساب @Jack را از دست داده بود. اين حوادث عمدتاً از آسيبپذيري در برنامههاي شخص ثالث يا حملاتي كه به SIM-swap معروف هستند هك ۱۵ جولاي متفاوت بود؛ زيرا بر سيستمهاي خود توييتر تأثير ميگذاشت. ادعا ميشود مغز متفكر آن نوجواني در فلوريدا است.
مغز متفكر پشت حمله به توييتر
با توجه به اتهامات ارائهشده توسط وزارت دادگستري و دادستاني ايالتي هيلزبورو، اين طرح توسط گراهام ايوان كلارك، نوجوان ۱۷ ساله از تامپاي فلوريدا كه در كلاهبرداري از متخصصان ماينكرافت تخصص داشت، تنظيم شده بود. البته كلارك با يك گروه علاقهمند به نامهاي متخصصي كوتاه به نام OGUsers نيز آشنايي داشت. يك فرد ديگر به نام نيما فاضلي جزو همدستان احتمالي اين نوجوان است.
ادعا ميشود كلارك با كمك فاضلي و واسطه ديگري، هزاران دلار براي دسترسي مستقيم به حسابها پرداخت كرده است. او ديگر اين بار قرار نبود سراغ حساب متخصصان سادهي ماينكرافت برود؛ اكنون هدف او اشخاص چند ميليارد دلاري بودند.
طبق گفته دادستانهاي پرونده، كلارك بخشي از برنامه اوليه خود را ارتقا داد. براي مثال او به اين نتيجه رسيد كه تصاحب حساب @Kanyewest جذابتر از @SC است. او در كلاهبرداري اوليه بيت كوين خود حدود ۱۱۷ هزار دلار درآمد كسب كرد. مسئولان در حال انجام تحقيقات بيشتر در پروندهي وي هستند.
برنامهي آينده توييتر براي مقابله با حملات احتمالي
به انديشه متخصصين ميرسد توييتر دوباره قرباني حمله مشابهي نشود. آليسون نيكسون (مدير ارشد تحقيقات شركت امنيتي Unit 221B) كه FBI را در تحقيقات خود ياري كرد، ميگويد تعداد متخصصان با آيدي كوتاه پايين است؛ اما اين بدان معنا نيست كه خيال توييتر ميتواند در اين زمينه راحت باشد.
حدود يك ماه طول كشيد تا توييتر دوباره به حالت عادي برگردد، زيرا متخصصان بهتدريج ابزارهايي كه در مرحلهي اوليه از آنها محروم شده بودند، بازيافتند. البته در بازگرداني ابزارهاي يادشده محدوديتهاي به وجود آمد. براي انجام بعضي از امور حياتي در شركتي به بزرگي توييتر، به متخصصاني نياز است كه بعضي از آنها دسترسيهاي زيادي دارند تا در مواقع مورد نياز استفاده كنند. اما يكي از اولين چيزهايي كه توييتر بلافاصله پس از اين حمله متوجه شد، اين بود كه تعداد زيادي از افراد بيش از حد به بخشهاي زيادي دسترسي داشتند.
يكي از بزرگترين تغييراتي كه اين شركت اعمال كرده اجبار همه متخصصان به استفاده از احراز هويت دوعاملي است. البته توييتر اين كار پيشتر شروع كرده بود؛ اما اكنون سرعت اجراي برنامه را افزايش داده است. در عرض چند هفته، همه افراد در توييتر، از جمله پيمانكاران، يك كليد امنيتي دارند و ملزم به استفاده از آن هستند.
اين شركت همچنين به بيرون از خود نگاهي انداخته و شرايط سختگيرانهتري براي رمز ورود متخصصاني مانند سياستمداران، كمپينها و روزنامهنگاران سياسي كه در معرض خطر بيشتري هستند اعمال كرده است. جان آدامز (مهندس سابق امنيت توييتر) گفته است اين معيار بايد در هر حسابي با بيش از ۱۰ هزار دنبالكننده اعمال شود.
وظيفهي اصلي توييتر محافظت از متخصصان است و اميدواريم با اتفاقي كه يك نوجوان ۱۷ ساله براي آن رقم زد، مسئولان اين شركت اقدامات جديتري براي ايمني پلتفرم خود انجام دهند.
هم انديشي ها