توییتر چگونه در مقابل بزرگ‌ترین هک خود ایستادگی کرد

پانزدهم جولای روزی بود که برای پاراگ آگراوال (مدیر ارشد فناوری توییتر) کاملا معمولی شروع شد. همه چیز در این شبکه اجتماعی عادی به ‌نظر می‌رسید؛ طرفداران بازیگرهای مختلف در حال بحث با یکدیگر بودند،‌ مردم از اینكه مترو لندن آثار هنری بانكسی را حذف كرده بود ابراز ناراحتی می‌کردند و در کل، اکثر کاربران کارهای همیشگی خود را انجام می‌دادند. آگراوال در دفتر خانگی خود، مکانی که آن را با پسر جوانش به اشتراک گذاشته، مشغول کار کردن بود. او در حال انجام کارهای همیشگی خود مانند نظارت به بهبود الگوریتم اصلی توییتر، مطمئن شدن از کار کردن همه‌ی قسمت‌های این شبکه اجتماعی و بررسی لحظه‌ای عملکرد آن بود. یکی از وظایف او بررسی مشکلات مختلفی از قبیل انتشار اطلاعات نادرست در این پلتفرم است.

اما این آرامش و عادی بودن تا اواسط روز بیشتر ادامه نداشت؛ زیرا کم‌کم سینگال‌هایی منتشر شدند که از وجود یک مشکل بزرگ در توییتر خبر می‌دادند. گروهی در تلاش بود اطلاعات کارمندان را فیشینگ کند و طبق شواهدی که تا آن لحظه کشف شده بود، این افراد در کار خود مهارت زیادی داشتند. آن‌ها در حال فراخوانی کارمندان بخش خدمات مصرفی و پشتیبانی فنی بودند و به آن‌ها دستور می‌دادند رمزهای عبور خود را ریست کنند. بسیاری از کارمندان پیام‌های مذکور را به تیم امنیتی منتقل کردند و به کار خود بازگشتند. اما در این میان چند فرد ساده‌لوح، در خواست افراد سودجو را انجام دادند. آن‌ها به یک سایت ساختگی که توسط هکرها کنترل می‌شد منتقل شدند و بخش‌هایی را پر کردند که اطلاعات نام کاربری، رمز عبور و همچنین کد احراز هویت چندعاملی را کاملا دراختیار سودجویان قرار می‌داد.

آغاز حمله هکرها به توییتر

اندکی پس از آن، چندین حساب توییتر با آی‌دی‌ کوتاه مانند Vamipire ،drug و چند مورد دیگر به خطر افتادند. نام کاربری‌ کوتاه موسوم (OG) در جوامع خاص هکرها به همان روشی ارزیابی می‌شود که آثار هنری امپرسیونیست قیمت‌گذاری می‌شوند. این بدان معنا است که آی‌دی‌های مذکور دارای ارزش بالایی هستند و باید بیشتر محافظت شوند. توییتر از این مسئله اطلاع دارد و آن‌ها را در اولیت اصلی خود قرار می‌دهد.

البته هنوز این مشکل که مدتی از شروع آن می‌گذشت به گوش آگراوال نرسیده بود. توییتر یک تیم شناسایی و پاسخ اختصاصی دارد که حوادث امنیتی را تحت کنترل می‌گیرند و در سریع‌ترین زمان ممکن رفع می‌کنند. این گروه که به اختصار DART نامیده می‌شود، فعالیت‌های مشکوکی را کشف کرده بود؛ اما هنوز پاسخ‌های مورد نیاز برای تشخیص و رفع آن محدود بود. هنگامی که یک شبکه اجتماعی گسترده با صدها میلیون کاربر داشته باشید که از ربات‌های بی‌نام و نشان گرفته تا رهبر‌های جهان در آن حضور دارند، این اتفاقات مدام رخ می‌دهد؛ درنتیجه نیازی نیست زمانی‌که می‌توانید مشکلی را رفع کنید، مدام این اتفاقات را به مافوق خود اطلاع دهید.

اولین قدم بزرگ در راستای حمله فیشینگ در توییتر

اما حدود ساعت ۳ بعدازظهر بود که Binance‌ (صرافی آنلاین رمزارز) با انتشار توییت عجیبی اعلام کرد در حال بازگرداندن حدود ۵۲ میلیون دلار بیت‌ کوین به جامعه است. در ادامه این توییت یک آدرس وجود داشت که کاربران را به یک صفحه جعلی منتقل می‌کرد. طی یک ساعت بعد، ۱۱ هزار حساب ارز رمزگذاری‌شده این کار را انجام دادند. حدود ساعت ۴ بعدازظهر، ÷ نیز توییتی حاوی یک تکنیک کلاسیک کلاهبرداری بیت کوین در صفحه خود برای بیش از ۴۰ میلیون فالوورش منتشر کرد. چند دقیقه بعد بیل گیتس معروف نیز همین کار را انجام داد.

به‌زودی همه‌ی اعلان‌های دریافتی پاراگ آگراوال از پیام کوتاه گرفته تا ایمیل، اعلام می‌کردند مسئله‌ای به‌طور بسیار وحشتناکی اشتباه است. نزدیک ساعت ۵ بعد ازظهر توئیت‌ها سریع‌‌تر آمدند. این بار حساب‌های بیشتری توییت‌های نامرتبط منتشر می‌کردند؛ اوبر، اپل، کانیه وست، جف بزوس، مایک بلومبرگ و حتی دوباره ایلان ماسک. بله، توییتر مورد حمله قرار گرفته بود.

احساس طاقت‌فرسای ترس در همان لحظات اولیه گریبان‌گیر مسئولان توییتر و کاربران آن شد. حساب‌های پرطرفدار، مانند قربانیان سبک فیلم‌‌های اسلشر در حال نابودی بودند؛ بدون اینکه بدانند نفر بعدی ممکن است چه کسی باشد. این سیستم عظیم به خطر افتاده بود و اکنون توییتر باید می‌فهمید چگونه می‌توان این مسئله را حل کند. آیا باید توییتر را به‌طور کلی غیرفعال کرد؟ اگر برخی از حساب‌ها غیرفعال شوند چطور؟ آیا احتمال حمله داخلی وجود دارد و در حال‌ حاضر کسی قابل اعتماد است؟ همه افراد این شرکت احساس می‌کردند باید پاسخی ارائه دهند‌،؛ اما هیچ‌کس دقیقاً از نحوه انجام این کار مطمئن نبود. آگراوال می‌گوید در آن لحظات احساس خطر بسیار زیادی به دوش می‌کشید.

آن روز وحشتناک حتی می‌توانست چشم‌انداز هراس‌انگیز‌تری نسبت به این مسئله ایجاد کند؛ اگر کسی برای براندازی دموکراسی آمریکا این پلتفرم را هک کرده باشد، چه؟ از همان لحظه، این شرکت تصمیم گرفت تلاش خود را چند برابر کند تا بتواند سریع‌تر مشکل را کنار بزند. به همین دلیل اکنون قابلیت‌های امنیتی بیشتری در این پلتفرم وجود دارند که می‌توانند به افزایش امنیت کاربران و سیستم کمک بسیاری کنند. درواقع توییتر حالا دارای پروتکل‌های امنیتی جدید، آموزش‌های اجباری کارمندان و تغییراتی در سیاست‌های خود است که دلیل اصلی آن، ۱۵ جولای و هرج‌ومرجی است که هکرها در توییتر ایجاد کردند.

روزی که توییت‌‎های عجیبی از حساب‌های افراد و شرکت‌های معروف دنیا منتشر می‌شد و در آن‌ها محتوای مرتبط به کلاه‌برداری بیت‌ کوین وجود داشت، از پرهرج‌ومرج‌ترین ساعات تاریخ این پلتفرم است.

در حالت ایده‌آل، سیستم‌های خودکار مشخص می‌کردند چه گروهی در حال عوض کردن اطلاعات چندین حساب مختلف در یک بازه‌ی زمانی بسیار کوتاه است. اما یکی از کارمند سابق بخش امنیت توییتر می‌گوید این شرکت در سرمایه‌گذاری لازم برای استفاده از این فناوری کُند عمل کرده و تهدیدات احتمالی داخلی را نادیده گرفته است؛ درنتیجه استفاده از سیستم مذکور در چنین شرایطی برای توییتر مقدور نبود.

اقدامات توییتر برای مقابله با هکرها

ازآنجاکه گروه امنیت توییتر نمی‌دانست این حمله از کجا ناشی می‌شود، پیش‌بینی فرد بعدی که ممکن بود قربانی این هکرها شود غیر ممکن به ‌نظر می‌رسید. خاموش کردن سرویس به‌طور کامل هم عملی نبود. به گفته یکی از مدیران سابق این شرکت، حتی مشخص نیست آیا واقعا توییتر در هر زمانی‌که بخواهد، توانایی انجام این کار را دارد یا کلا چنین گزینه‌ای هیچ‌وقت در لحظه‌های فوق حساس عملی نخواهد شد. اما تا ساعت حدود ۶ بعدازظهر این گروه یکی از سخت‌ترین تصمیمات خود را گرفت. قرار شد برای محدودتر کردن اقدامات هکرها، تمام حساب‌های تأییدشده مسدود شوند. همچنین آن‌ها محدودیت بیشتری برای هر حسابی که طی هفته‌‌های گذشته گذرواژه خود را تغییر داده بود، اعمال کردند.

پس از این اقدام، هرج‌ومرجی به وجود آمد. بسیاری از کسانی که هنوز می‌توانستند توییت منتشر کنند، غیرفعال شدن حساب‌های کابری تأیید‌شده را جشن گرفتند. این اقدام یک گلوگاه اطلاعاتی ایجاد کرد. سرویس ملی هواشناسی دیگر نمی‌توانست پست‌های مربوط به مشاوره‌ی گردباد را منتشر کند و شرکت‌های رسانه‌ای از جمله WIRED قادر به انتشار اخبار مهم در رابطه با این هک بزرگ نبودند. در این حالت تنها حساب رسمی پشتیبانی توییتر بود که می‌توانست به‌عنوان یک منبع قابل اعتماد برای کاربران تلقی شود.

در داخل توییتر، آگراوال و تیمش با عصبانیت و استرس در حال کار روی راه‌های احتمالی جلوگیری از این هک بودند. یک قانون در این زمینه وجود دارد که هرچه شبکه داخلی را تنگ‌تر کنید، توانایی مقابله با کلاهبرداران کم‌تر می‌شود. همچنین دیگر نمی‌توانید سودجویان را ردیابی کنید یا بفهمید چه کسی در حال آسیب رساندن به شبکه شما است. بنابراین توییتر تصمیم گرفت یک گام متوسط بردارد. قرار شد آن‌ها همه‌ی افراد را از VPN داخلی بیرون بیندازند. آن‌ها نمی‌خواستند همه این کارها را یک‌باره انجام دهند؛ زیرا تیم پاسخ امنیتی نباید دسترسی خود را از دست بدهد یا به دلیل اینکه همه برای ورود مجدد به سایت هجوم می‌آوردند، سیستم تحت فشار قرار گیرد.

در مرحله بعدی، آن‌ها فرایند جلب کارمندان را برای ورود به شرایطی که متخصصان امنیتی از آن به‌عنوان محیط «اعتماد صفر» یاد می‌کنند، آغاز کردند. این کار از جک دورسی (مدیر اجرایی توییتر) آغاز شد و سپس در چارت سازمانی پایین آمد. در این برنامه هر شخص نیاز دارد که با سرپرست خود وارد یک کنفرانس ویدیویی شود و رمزهای عبور خود را به‌صورت دستی تغییر دهد. درواقع شیوع ویروس کرونا باعث شده بود همه به‌صورت مجازی و با استفاده از وب کم این کار را انجام دهند. آگراوال به‌سرعت جلسه‌ای با کل تیم اجرایی گذاشت تا مطمئن شود همه، همان کسانی هستند که ادعا می‌کنند و فرد نفوذی در سیستم وجود ندارد.

دیمن کایران (مأمور محافظت از اطلاعات جهانی توییتر) می‌گوید:

ما باید تصور می‌کردیم همه غیر قابل اعتماد هستند. مدیران مجبور بودند هر کارمند را ازطریق یک اسکریپت و یک سری تغییرات در رمز عبور، توسط نرم‌افزار داخلی شرکت بررسی کنند.

از نظر برخی از افراد خارجی، این واکنش کمی زیاد بود. الکس استاموس (مأمور ارشد امنیتی سابق فیسبوک) می‌گوید از اینکه یک طرح فیشینگ می‌تواند منجر به غیرفعال شدن کامل توییتر شود، شگفت‌زده شده است. با توجه ‌به درک او از سوابق عمومی، بهتر بود توییتر فقط گزارش‌های خود را تجزیه و تحلیل کند و تنها حساب‌های کاربری که این مشکل را ایجاد کرده‌اند غیرفعال کند.

یکی دیگر از کارمندان ارشد سابق توییتر تقریبا همین حرف را می زند:

خرابی در سطح سیستم وجود داشت. کل این قضیه نباید اتفاق می‌افتاد. مشکل این نیست که کسی فیشینگ شده است؛ مسئله این است که اگر چنین اتفاقی افتاد، شرکت سیستم مناسب برای مقابله با آن را دراختیار داشته باشد.

توییتر پیش‌تر با چنین مسئله‌ای روبه‌رو شده است. جک دورسی کنترل حساب @Jack را از دست داده بود. این حوادث عمدتاً از آسیب‌پذیری در برنامه‌های شخص ثالث یا حملاتی که به SIM-swap معروف هستند انجام می‌شود. هک ۱۵ جولای متفاوت بود؛ زیرا بر سیستم‌های خود توییتر تأثیر می‌گذاشت. ادعا می‌شود مغز متفکر آن نوجوانی در فلوریدا است.

مغز متفکر پشت حمله به توییتر

با توجه ‌به اتهامات ارائه‌شده توسط وزارت دادگستری و دادستانی ایالتی هیلزبورو، این طرح توسط گراهام ایوان کلارک، نوجوان ۱۷ ساله از تامپای فلوریدا که در کلاهبرداری از کاربران ماینکرافت تخصص داشت‌، تنظیم شده بود. البته کلارک با یک گروه علاقه‌مند به ‌نام‌های کاربری کوتاه به ‌نام OGUsers نیز آشنایی داشت. یک فرد دیگر به‌ نام نیما فاضلی جزو هم‌دستان احتمالی این نوجوان است.

ادعا می‌شود كلارک با كمک فاضلی و واسطه دیگری، هزاران دلار برای دسترسی مستقیم به حساب‌ها پرداخت كرده است. او دیگر این بار قرار نبود سراغ حساب کاربران ساده‌ی ماینکرافت برود؛ اکنون هدف او اشخاص چند میلیارد دلاری بودند.

طبق گفته دادستان‌های پرونده، کلارک بخشی از برنامه اولیه خود را ارتقا داد. برای مثال او به این نتیجه رسید که تصاحب حساب @Kanyewest جذاب‌تر از @SC است. او در کلاهبرداری اولیه بیت کوین خود حدود ۱۱۷ هزار دلار درآمد کسب کرد. مسئولان در حال انجام تحقیقات بیشتر در پرونده‌ی وی هستند.

برنامه‌ی آینده توییتر برای مقابله با حملات احتمالی

به ‌نظر می‌رسد توییتر دوباره قربانی حمله مشابهی نشود. آلیسون نیکسون (مدیر ارشد تحقیقات شرکت امنیتی Unit 221B) که FBI را در تحقیقات خود یاری کرد، می‌گوید تعداد کاربران با آی‌دی‌ کوتاه پایین است؛ اما این بدان معنا نیست که خیال توییتر می‌تواند در این زمینه راحت باشد.

حدود یک ماه طول کشید تا توییتر دوباره به حالت عادی برگردد، زیرا کارمندان به‌تدریج ابزارهایی که در مرحله‌ی اولیه از آن‌ها محروم شده بودند، بازیافتند. البته در بازگردانی ابزارهای یادشده محدودیت‌های به‌ وجود آمد. برای انجام بعضی از امور حیاتی در شرکتی به بزرگی توییتر، به کارمندانی نیاز است که بعضی از آن‌ها دسترسی‌های زیادی دارند تا در مواقع مورد نیاز استفاده کنند. اما یکی از اولین چیزهایی که توییتر بلافاصله پس از این حمله متوجه شد، این بود که تعداد زیادی از افراد بیش از حد به بخش‌های زیادی دسترسی داشتند.

یکی از بزرگ‌ترین تغییراتی که این شرکت اعمال کرده اجبار همه کارمندان به استفاده از احراز هویت دوعاملی است. البته توییتر این کار پیش‌تر شروع کرده بود؛ اما اکنون سرعت اجرای برنامه را افزایش داده است. در عرض چند هفته، همه افراد در توییتر، از جمله پیمانکاران، یک کلید امنیتی دارند و ملزم به استفاده از آن هستند.

این شرکت همچنین به بیرون از خود نگاهی انداخته و شرایط سختگیرانه‌تری برای رمز ورود کاربرانی مانند سیاستمداران، کمپین‌ها و روزنامه‌نگاران سیاسی که در معرض خطر بیشتری هستند اعمال کرده است. جان آدامز (مهندس سابق امنیت توییتر) گفته است این معیار باید در هر حسابی با بیش از ۱۰ هزار دنبال‌کننده اعمال شود.

وظیفه‌ی اصلی توییتر محافظت از کاربران  است و امیدواریم با اتفاقی که یک نوجوان ۱۷ ساله برای آن رقم زد، مسئولان این شرکت اقدامات جدی‌تری برای ایمنی پلتفرم خود انجام دهند.