اختراق يكشف عشرات الملايين من الرسائل النصية القصيرة
كشف اختراق هائل للبيانات عن عشرات الملايين من الرسائل النصية القصيرة SMS، وتضمن الخرق قاعدة بيانات غير آمنة تضم 26 مليون رسالة نصية قصيرة لهذا العام فقط، بعضها يحتوي على بيانات خاصة للعملاء مثل معلومات إعادة ضبط كلمة المرور وإشعارات الشحن ورموز المصادقة الثنائية، ويجري تشغيل قاعدة البيانات من قبل Voxox، وهي شركة اتصالات تتخذ من سان فرانسيسكو بولاية كاليفورنيا مقراً لها، ومما يزيد الطين بلة أن قاعدة البيانات لم تكن محمية بكلمة مرور، مما جعلها مفتوحة أمام المتسللين، وذلك وفقاً لسيباستيان كاول Sébastien Kaul، الباحث الأمني في برلين الذي اكتشف نقطة الضعف.
ووجد الباحث أن قاعدة البيانات لم تكن غير محمية بواسطة كلمة مرور فقط، بل كانت قابلة للبحث من خلال الأسماء وأرقام الهواتف، وتعمل شركة Voxox (المعروفة سابقًا باسم Telcentris) كوسيط بين مطوري التطبيقات وهواتف المستخدمين، إذ عندما يطلب شخص ما على سبيل المثال تغيير كلمة المرور الخاصة به، فإن التطبيق يرسل رابط أو رمز إعادة تعيين الحساب إلى هاتف الشخص، وتقوم Voxox بتحويل تلك الرموز إلى رسائل نصية يتم تسليمها بعد ذلك إلى هاتف المستخدم.
وتضمنت قاعدة البيانات، والتي اكتشفها الباحث بسهولة عبر محرك بحث Shodan للأجهزة وقواعد البيانات المتاحة للجمهور، أيضًا رسائل نصية تم إرسالها إلى عملاء من شركات مثل جوجل ومايكروسوفت وأمازون، ومما يثير القلق أن قاعدة البيانات كانت لا تزال تعمل حتى بعد اكتشاف الضعف، مما يعني إمكانية مراقبة أي طلبات إعادة تعيين كلمة المرور أو رموز المصادقة الثنائية من قبل الهاكرز واستخدامها للوصول إلى حساب المستخدم في حال كان لديهم جميع بيانات الاعتماد الصحيحة.
لا يمكن استخدام العديد من رموز المصادقة الثنائية وإعادة التعيين إلا لفترة زمنية قصيرة، ولكن إذا تم اعتراضها في الوقت المناسب، فمن الممكن أن يستخدمها المتسللون
وأوقفت شركة Voxox قاعدة البيانات عن العمل بعد معرفة المشكلة، وقالت “إنها تبحث في القضية وتتبع سياسة اختراق البيانات القياسية في الوقت الحالي، بالإضافة إلى أنها تعمل على تقييم الآثار”، وقد لاحظ الباحث أنواع البيانات التي كانت تمر عبر قاعدة بيانات Voxox في الوقت الحقيقي، إذ تم ربط كل سجل في قاعدة البيانات برقم هاتف المستلم، وتضمنت إحدى الرسائل كلمة المرور لحساب تطبيق Badoo، بينما تضمنت عدة رسائل رموز إعادة تعيين كلمات المرور لحسابات مايكروسوفت وهواوي.
وقال مايك جودفري Mike Godfrey، المسؤول التنفيذي في شركة الأمن Insinia Security: “وجدنا جميعًا أن فكرة استخدام الرسائل النصية للمصادقة والتحقق من الحساب هي فكرة سيئة لأن المتسللين يمكنهم الوصول إلى الرسائل النصية”، وقد دفعت المخاوف المتعلقة بالاتصالات عبر الرسائل النصية القصيرة، والتي تنتقل عبر شبكات الهاتف ويمكن اختراقها من قبل المتسللين، بعض الشركات مثل فيسبوك وجوجل لتوفير تطبيقات آمنة للتحقق من المستخدمين، حيث لم تتغير أنظمة الرسائل النصية القصيرة منذ عدة عقود، مما يجعلها عرضة للتزييف والتزوير الاحتيالي.
ويبرز هذا الاختراق الهائل للبيانات نقاط الضعف في استخدام التحقق من خلال الرسائل النصية القصيرة أو إرسال ارتباطات إعادة تعيين كلمة مرور الحساب عبر الرسائل النصية القصيرة ولماذا ابتعدت الشركات عنها لصالح المصادقة الثنائية، إذ يوصي العديد من خبراء الأمن بالمصادقة الثنائية المعتمدة على التطبيق نفسه، والتي تعتبر أكثر أمانًا من التحقق عبر الرسائل النصية القصيرة، كما أن هناك خيار آخر يتمثل في استخدام تطبيقات المصادقة مثل 1Password أو LastPass.