ملخص
- حادثة Reddit الأمنية في 2018 تنتمي إلى ملف المخاطر والمساءلة لأن إعلان الشركة الخاص علىhttps://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/ذكر أن المهاجمين تمكنوا من الوصول إلى بعض أنظمة Reddit بعد اختراق حسابات موظفين في مزودي الخدمات السحابية واستضافة الأكواد البرمجية على الرغم من استخدام المصادقة الثنائية عبر الرسائل النصية.
- القضية لا تتعلق فقط بمقارنة ضعف الرسائل النصية مقابل المصادقة الثنائية الأقوى. بل تتعلق لماذا كشف اختراق وصول الموظفين عن نسخة كاملة من نسخة احتياطية قديمة لقاعدة البيانات تحتوي على بيانات مبكرة للمستخدمين، ولماذا سجلات ملخصات البريد الإلكتروني لشهر يونيو 2018 يمكنها ربط أسماء المستخدمين بعناوين البريد الإلكتروني لأشخاص ربما اعتمدوا على سياق الأسماء المستعارة في Reddit.
- التقارير العامة علىhttps://www.wired.com/story/reddit-hacked-thanks-to-woefully-insecure-two-factor-setup/وhttps://arstechnica.com/information-technology/2018/08/password-breach-teaches-reddit-that-yes-phone-based-2fa-is-that-bad/وhttps://krebsonsecurity.com/2018/08/reddit-breach-highlights-limits-of-sms-based-authentication/وhttps://techcrunch.com/2018/08/01/reddit-breach-exposes-user-data-but-not-much/تدعم الجدول الزمني وتأطير اعتراض الرسائل النصية، لكن هذه المقالة تتعامل مع إشعار Reddit الخاص باعتباره السجل العام الأساسي.
- إرشادات NIST للهوية الرقمية علىhttps://pages.nist.gov/800-63-3/sp800-63b.htmlومفردات التحكم الحالية من NIST علىhttps://www.nist.gov/cyberframeworkوhttps://csrc.nist.gov/publications/detail/sp/800-53/rev-5/finalذات صلة لأن الحادثة تدمج المصادقة والتحكم في الوصول وقابلية المراجعة والاحتفاظ ومعالجة النسخ الاحتياطية والاستجابة للحوادث وإشعار المستخدم بدلاً من عيب وحيد في تسجيل الدخول.
- سؤال المساءلة عملي: من كان لديه دليل على أن النسخة الاحتياطية المكشوفة قديمة، ومن علم أي ملخصات بريد إلكتروني ربطت الحسابات بالعناوين، ومن قرر أي المستخدمين يجب الاتصال بهم، ومن ضمن مصادقة أقوى للموظفين وحوكمة أفضل للبيانات الاحتياطية بعد الحدث؟
لماذا تنتمي هذه القضية إلى ملف المخاطر والمساءلة
تنتمي Reddit إلى ملف المخاطر والمساءلة لأن عرض القيمة العامة لها اعتمد دائمًا على مزيج هش من المشاركة المفتوحة والهوية المستعارة والاعتدال المجتمعي والبنية التحتية للمنصة المركزية. يمكن للمستخدمين الكشف عن اهتمامات حساسة وآراء سياسية وأسئلة صحية ومخاوف مكان العمل ومعلومات محلية ومشاكل علاقات وقلق مالي أو إشارات هوية تحت أسماء مستعارة قد لا تكون مرتبطة بأسمائهم الحقيقية في التصفح العام العادي. لذلك فإن الاختراق الذي يربط عناوين البريد الإلكتروني وأسماء المستخدمين والرسائل الخاصة القديمة وبيانات الاعتماد القديمة ومستلمي ملخصات البريد الإلكتروني يغير مخاطر المستخدم حتى لو كانت السجلات المكشوفة ليست ملفًا كاملاً.
مشكلة المساءلة للمنصة لا تقتصر على ما إذا كان أحد سرق كلمات المرور الحالية. بل هي ما إذا كانت المنصة يمكنها إثبات أن السجلات القديمة والنسخ الاحتياطية والسجلات وأنظمة الاتصال ووصول الموظفين الإداري لم تصبح جسرًا دائمًا بين المشاركة المستعارة وقابلية الاتصال في العالم الحقيقي.
السجل العام الأساسي هو إعلان Reddit الخاص في أغسطس 2018 علىhttps://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/. قالت Reddit إنها علمت أن مهاجمًا اخترق بعض حسابات الموظفين في مزودي الخدمات السحابية واستضافة الأكواد بين 14 و 18 يونيو 2018. قالت الشركة إن الحسابات كانت محمية بالمصادقة الثنائية، لكن العامل الثاني كان الرسائل النصية، واستنتجت Reddit أن المصادقة القائمة على الرسائل النصية لم تكن آمنة كما كانت تأمل. قالت Reddit إن المهاجم حصل على وصول للقراءة فقط إلى بعض الأنظمة التي تحتوي على بيانات احتياطية وأكواد برمجية وسجلات أخرى. وقالت Reddit أيضًا إن المهاجم حصل على نسخة كاملة من نسخة احتياطية قديمة لقاعدة البيانات تحتوي على بيانات مستخدمين مبكرة لـ Reddit من عام 2007 وما قبله، وإلى سجلات تحتوي على ملخصات البريد الإلكتروني التي أرسلتها Reddit في يونيو 2018.
جعل هذا الإفصاح الحادثة أوسع من قصة إعادة تعيين كلمة المرور. لم يحتاج المهاجم إلى تعديل محتوى Reddit لخلق تعرض للمساءلة. كان وصول القراءة فقط كافيًا إذا كانت الأنظمة المتاحة تحتوي على نسخ احتياطية تاريخية وأكواد برمجية وسجلات وسجلات اتصال بالمستخدمين. كانت النسخة الاحتياطية قديمة، لكن البيانات القديمة لا تزال قادرة على تحديد هوية الأشخاص. كانت ملخصات البريد الإلكتروني حديثة، لكنها تم إنشاؤها بواسطة ميزة اتصال وليس بواسطة المستخدم الذي يقوم بتصدير بيانات الحساب بشكل صريح. كانت حسابات الموظفين محمية، لكن العامل الثاني المختار كان عرضة للاعتراض.
كل حقيقة تشير إلى مالك تحكم مختلف: إدارة الهوية والوصول، الاحتفاظ بالنسخ الاحتياطية، الوصول إلى مزود الخدمة السحابية، استضافة الأكواد، عمليات البريد الإلكتروني، التسجيل، إشعار المستخدم، والاستجابة القانونية.
السؤال الأساسي ليس "هل تم اختراق Reddit؟" بشكل مجرد. سؤال المساءلة: من كان لديه تحكم عملي في المصادقة الثنائية للموظفين عبر الرسائل النصية، الوصول إلى السحابة واستضافة الأكواد، الاحتفاظ بالنسخ الاحتياطية، تقليل السجلات، ربط هوية ملخصات البريد الإلكتروني، إشعار المستخدم، وإثبات أن البيانات القديمة لم تبقَ مكشوفة أكثر مما توقعه المستخدمون بشكل معقول؟ إشعار Reddit العام أجاب عن جزء من هذا السؤال بتحديد فئات البيانات وخطوات التخفيف.
لم يكشف، ولا يمكن على الأرجح في إشعار عام، عن خريطة الوصول الكاملة للموردين، جميع حسابات الموظفين المتأثرة، الأساس المنطقي الكامل للاحتفاظ بالنسخ الاحتياطية، مخطط السجل الكامل، أو كل إشارة كشف أدت إلى الاكتشاف.
بدأت الحادثة بوصول الموظفين، وليس استيلاء على حسابات عامة
أول تمييز للمساءلة هو بين استيلاء على حساب مستخدم واختراق وصول الموظفين. وصف إعلان Reddit الخاص حسابات موظفين مخترقة في مزودين يدعمون سير العمل السحابي واستضافة الأكواد. تقرير Wired المعاصر علىhttps://www.wired.com/story/reddit-hacked-thanks-to-woefully-insecure-two-factor-setup/أكد أن المهاجمين حصلوا على الوصول باختراق حسابات إدارية للموظفين مرتبطة بالتخزين السحابي وتخزين الأكواد. تقرير TechCrunch علىhttps://techcrunch.com/2018/08/01/reddit-breach-exposes-user-data-but-not-much/وصف بالمثل المصادقة الثنائية المعترضة عبر الرسائل النصية كطريق حول تحكم كانت Reddit قد وضعته. KrebsOnSecurity علىhttps://krebsonsecurity.com/2018/08/reddit-breach-highlights-limits-of-sms-based-authentication/أطر الحدث كدرس في حدود الرسائل النصية كعامل ثانٍ.
هذا التمييز مهم لأن نصائح المستخدم العامة يمكن أن تنجرف نحو التخفيف الخطأ. يمكن للمستخدمين تغيير كلمات المرور والتوقف عن إعادة استخدام بيانات الاعتماد القديمة وتمكين حماية أقوى للحساب واليقظة للتصيد. تلك الخطوات مفيدة. لكن المستخدمين لم يستطيعوا إصلاح طريقة مصادقة الموظفين التي حمت حسابات مزودي Reddit. لم يستطيعوا تحديد كيفية تخزين Reddit للبيانات الاحتياطية. لم يستطيعوا تحديد سجلات ملخصات البريد الإلكتروني التي تم الاحتفاظ بها. لم يستطيعوا فرض أقل امتياز عبر مزودي السحابة واستضافة الأكواد. عندما يكون الحد المخترق داخل بيئة مشغل المنصة الإدارية، يجب أن تبقى إجابة المساءلة مع المشغل ومزوديه، وليس مع المستخدمين المتأثرين.
الحقائق العامة تظهر أيضًا لماذا "القراءة فقط" ليست صفة منخفضة المخاطر بذاتها. وصول القراءة فقط يمنع تغيير المحتوى، لكنه لا يمنع الاستخراج أو الربط أو كسر بيانات الاعتماد أو فحص الأكواد البرمجية أو الهندسة الاجتماعية لاحقًا. في سياق المنصة، قراءة نسخة احتياطية قديمة يمكن أن تكشف بيانات اعتماد حساب تاريخية وعناوين بريد إلكتروني. قراءة السجلات يمكن أن تكشف أي حساب استلم أي اتصال. قراءة الأكواد البرمجية يمكن أن تساعد المهاجم على فهم الهندسة، على الرغم من أن التقارير العامة لم تثبت استخدام الأكواد لهجوم لاحق. المساءلة تتطلب فصل هذه الاحتمالات. من الإنصاف القول إن وصول القراءة فقط يمكن أن يكون خطيرًا.
ليس من الإنصاف، بناءً على السجل العام وحده، الادعاء بأن كل انتهاك محتمل قد حدث.
قام إشعار Reddit بعمل مفيد في تحديد النطاق بتسمية ما كان متورطًا. النسخة الاحتياطية الأقدم احتوت على بيانات اعتماد حسابات وعناوين بريد إلكتروني من 2007 وما قبله. قالت Reddit إن تلك البيانات تمت معالجتها بالتمليح والتجزئة. سجلات ملخصات البريد الإلكتروني ليونيو 2018 احتوت على أسماء مستخدمين وعناوين بريد إلكتروني مرتبطة للمستخدمين الذين اشتركوا في تلك الملخصات. قالت Reddit إنها كانت ترسل رسائل إلى المستخدمين المتأثرين وتطلب إعادة تعيين كلمات المرور للحسابات حيث قد تظل بيانات الاعتماد صالحة. هذه حقائق عامة مؤكدة.
كما تكشف عن موضوع المساءلة المركزي: يجب تقييم الضوابط الأمنية بناءً على ما يمكن لحساب موظف مخترق قراءته، وليس فقط على ما إذا كان المهاجم يمكنه تغيير محتوى الإنتاج.
المصادقة الثنائية عبر الرسائل النصية أصبحت فشل التحكم المرئي
الدرس الأكثر اقتباسًا من الحادثة هو أن المصادقة الثنائية القائمة على الرسائل النصية أضعف من البدائل المقاومة للتصيد أو القائمة على التطبيق للوصول الإداري عالي المخاطر. تقرير Ars Technica علىhttps://arstechnica.com/information-technology/2018/08/password-breach-teaches-reddit-that-yes-phone-based-2fa-is-that-bad/وضع ذلك الدرس بشكل صريح. Wired وKrebsOnSecurity قالا نفس الشيء بعبارات مختلفة. بيان Reddit الخاص قال إن المصادقة عبر الرسائل النصية لم تكن آمنة كما كانت الشركة تأمل. أصبحت هذه العبارة هي الاختصار العام للاختراق.
الاختصار مفيد، لكن يمكن أن يصبح ضيقًا جدًا. الرسائل النصية معرضة لاحتيال تبديل بطاقة SIM وإساءة نقل الرقم والهندسة الاجتماعية لشركات الاتصالات وضعف الإشارات والبرامج الضارة على الأجهزة الطرفية واعتراض الإشعارات وطرق فشل تشغيلية لا يتحكم فيها مشغل المنصة بالكامل. للحسابات الاستهلاكية العادية، قد تكون الرسائل النصية أفضل من لا عامل ثانٍ ضد هجمات حشو بيانات الاعتماد الواسعة. لوصول الموظفين إلى الأنظمة السحابية وأنظمة الأكواد ومخازن النسخ الاحتياطية وأدوات دعم الإنتاج ومستودعات السجلات، عتبة المخاطر مختلفة. الوصول الإداري عالي القيمة يحتاج إلى ضمان أقوى وربط جهاز أقوى ومقاومة تصيد أقوى وتحكمات جلسة مميزة ومراقبة مستمرة.
NIST SP 800-63B، المتاح علىhttps://pages.nist.gov/800-63-3/sp800-63b.html، ذو صلة لأنه يعتبر المصادقة خارج النطاق عبر شبكة الهاتف العامة مقيدًا كنوع من المصادقة. النقطة في هذه القضية ليست أن وثيقة NIST واحدة تحكم بأثر رجعي على حادثة Reddit. النقطة هي أن المعايير العامة كانت قد تحركت بالفعل نحو نظرة أكثر حذرًا للرسائل النصية. للوصول الإداري، يجب أن تتوقع المنصة تبرير لماذا يكفي مصادق مقيد، وما الضوابط التعويضية الموجودة، ومدى سرعة انتقالها إلى عوامل أقوى للموظفين الذين لديهم وصول إلى بيانات المستخدم والنسخ الاحتياطية والأكواد البرمجية والسجلات ولوحات المزودين.
يجب أن يتجنب ملف المساءلة الاستنتاج المتسرع بأن Reddit لم يكن لديها عامل ثانٍ. كان لدى Reddit مصادقة ثنائية. الفشل هو أن العامل الثاني المختار لم يوفر ضمانًا كافيًا لنموذج التهديد. هذا درس أكثر دقة وفائدة. يمكن أن يوجد تحكم ومع ذلك يكون غير كافٍ. يمكن أن تكون قائمة التحقق مستوفاة بينما تظل المخاطرة عالية جدًا. الاختبار ليس ما إذا كانت المنصة يمكنها القول "المصادقة الثنائية كانت مفعلة"; الاختبار هو ما إذا كان شكل المصادقة الثنائية مناسبًا للأصل والفاعل وحساب المزود ونطاق الانفجار.
النسخ الاحتياطية حولت البيانات التاريخية إلى تعرض حالي
الدرس الثاني هو حول مساءلة البيانات الاحتياطية. قالت Reddit إن المهاجم تمكن من الوصول إلى نسخة كاملة من نسخة احتياطية قديمة لقاعدة البيانات تحتوي على بيانات مبكرة للمستخدمين من 2007 وما قبله. تلك النسخة الاحتياطية تضمنت بيانات اعتماد حسابات وعناوين بريد إلكتروني. وصفت Reddit كلمات المرور بأنها مملحة ومجزأة، وهو أمر مهم لأن الحماية التشفيرية تقلل من مخاطر بيانات الاعتماد الفورية. لكن وجود النسخة الاحتياطية في مكان يمكن الوصول إليه عبر حسابات مزودين مخترقة يثير أسئلة حول الاحتفاظ والوصول والتشفير والتقسيم والحذف.
النسخ الاحتياطية ضرورية للمرونة. لا يمكن لمنصة العمل بشكل مسؤول دون قابلية الاسترداد. لكن أنظمة النسخ الاحتياطي ليست مجرد تأمين تشغيلي. إنها مخازن بيانات موازية. غالبًا ما تحتوي على مخططات أقدم وحقول مهملة ومعرفات تاريخية وبيانات لم تعد الأنظمة المنتجة تعرضها بنفس الطريقة. قد يتم نسخها عبر المناطق والاحتفاظ بها وفق جداول زمنية مختلفة والوصول إليها من قبل مسؤولين مختلفين. كلما كانت النسخة الاحتياطية أقدم، زاد احتمال أن تعكس حقولها ممارسات أمنية سابقة وخوارزميات تجزئة سابقة وافتراضات منتج سابقة وتوقعات خصوصية سابقة.
لهذا السبب لا يمكن اختزال هذه الحادثة إلى عمر النسخة الاحتياطية. عمر النسخة الاحتياطية يمكن أن يحد من عدد المستخدمين الحاليين المتأثرين مباشرة بإعادة استخدام بيانات الاعتماد، لكنه يمكن أن يخلق أيضًا مخاطر مختلفة: الأشخاص الذين انضموا إلى منصة في سنواتها المبكرة قد استخدموا عناوين بريد إلكتروني ورسائل وكلمات مرور قد تتصل بهويات فصلوها لاحقًا. عنوان بريد إلكتروني من 2007 قد لا يزال عنوانًا لاسترداد الحساب أو عنوانًا مهنيًا أو عنوانًا مدرسيًا أو دليلاً لاسم مستخدم. كلمة مرور مملحة ومجزأة قد لا تزال قابلة للكسر اعتمادًا على الخوارزمية ومعالجة الملح وقوة كلمة المرور وموارد المهاجم.
السجل العام لا يثبت أن كل هذه المخاطر تحققت، لكنه يثبت أنه كان يجب تقييمها.
NIST SP 800-53 Rev. 5 علىhttps://csrc.nist.gov/publications/detail/sp/800-53/rev-5/finalتوفر لغة تحكم مفيدة لهذا الجزء من الحادثة: التحكم في الوصول، المراجعة والمساءلة، حماية الوسائط، حماية الأنظمة والاتصالات، التخطيط للطوارئ، وتقييم المخاطر. تلك ضوابط عامة، وليست نتائج خاصة بـ Reddit. تساعد في تحديد الأسئلة التي يجب أن يجيب عليها برنامج نسخ احتياطي مسؤول. من يمكنه سرد النسخ الاحتياطية؟ من يمكنه قراءة النسخ الاحتياطية؟ هل النسخ الاحتياطية مشفرة بمفاتيح غير متاحة لجلسات مزود الخدمة العادية؟ هل النسخ الاحتياطية التاريخية منفصلة عن مهام سير عمل الأكواد؟ هل يتم تسجيل الوصول بطريقة تبقى حتى بعد الاختراق؟ هل يتم اختبار النسخ الاحتياطية القديمة للحذف والتقليل، وليس فقط للاسترداد؟
المجهولات العامة مهمة. إشعار Reddit لعام 2018 لم يكشف عن بنية تخزين النسخ الاحتياطية الدقيقة أو ترتيبات التشفير أو نموذج إدارة المفاتيح أو جدول الاحتفاظ الكامل أو تكوين المزود. كما لم يكشف ما إذا كانت النسخة الاحتياطية القديمة التي تم الوصول إليها هي النسخة التاريخية الوحيدة في متناول اليد. تلك المجهولات لا تثبت الإهمال. إنها تحدد ما لا يمكن للجمهور التحقق منه بشكل مستقل. في سجل مساءلة المنصة، الحدود بين الحقائق المؤكدة وأسئلة التحكم غير المجاب عنها هي جزء من التحليل.
ملخصات البريد الإلكتروني خلقت سطح ربط هوية
ملخصات البريد الإلكتروني ليونيو 2018 هي أهم حد لإشعار المستخدم في القضية. قالت Reddit إن المهاجم وصل إلى سجلات تحتوي على ملخصات بريد إلكتروني تم إرسالها بين 3 و 17 يونيو 2018، وأن تلك السجلات ربطت أسماء المستخدمين بعناوين البريد الإلكتروني. لا يُنظر إلى ملخصات البريد الإلكتروني عادةً كبنية تحتية عالية المخاطر للهوية. إنها اتصالات منتج. لكنها يمكن أن تربط اسم مستعار بعنوان بريد إلكتروني حقيقي أو دائم. لمنصة مبنية حول المجتمعات، يمكن أن يكون هذا الربط حساسًا حتى عندما لا يشمل كلمة مرور أو بطاقة دفع أو رقم جواز أو معرف حكومي.
تعتمد الحساسية على السياق. اسم مستعار مرتبط بمجتمع هواية عام قد لا يخلق ضررًا كبيرًا. اسم مستعار مرتبط بمجتمعات دعم أو خطاب سياسي أو شكاوى توظيف أو نقاشات جنس أو جنسانية أو حالات صحية أو مشاكل قانونية أو تعافي من إدمان أو نشاط محلي أو كشف فساد يمكن أن يخلق تعرضًا مختلفًا. عنوان البريد الإلكتروني قد يحدد شخصًا مباشرة. قد يحدد صاحب عمل أو مدرسة أو نطاق عائلي أو منطقة. قد يكون أيضًا عنوان استرداد يمكن للخصوم استخدامه للتصيد. اقتصاديات الاتصال المسيء واضحة: بمجرد ربط اسم المستخدم بعنوان بريد إلكتروني، يصبح استهداف الشخص خارج Reddit أرخص.
هذا لا يعني أن كل متلقي ملخص متأثر تعرض للضرر. السجل العام لا يثبت ذلك. يعني أنه كان على المنصة التعامل مع قابلية الاتصال كفئة تعرض، وليس كأثر اتصال بسيط. قال إشعار Reddit إنها ستتواصل مع المستخدمين الذين تأثرت عناوين بريدهم الإلكتروني الحالية بسجلات الملخصات. هذا الاستجابة ذات صلة لأنها اعترفت بأن المستخدمين المتأثرين لم يقتصروا على مجموعة النسخة الاحتياطية القديمة لعام 2007. مجموعة ملخصات البريد الإلكتروني الحديثة خلقت مجموعة إشعار ثانية.
الحادثة تظهر أيضًا لماذا تحتاج سجلات المنتج إلى مراجعة خصوصية. غالبًا ما تُبنى السجلات لأغراض التصحيح والتحليلات ودعم العملاء ومراجعة مكافحة الإساءة وقابلية تسليم البريد الإلكتروني أو المراقبة التشغيلية. يمكن أن تتراكم المعرفات لأن ذلك يجعل التشخيص أسهل. لكن عندما تربط السجلات هوية المستخدم بعنوان قابل للوصول، تصبح بيانات حساسة. يجب أن يقوم التشغيل الآلي للأمن بتصنيف السجلات بناءً على ما يمكنها ربطه، وليس فقط على ما إذا كانت تحتوي على أسرار. سجل لا يحتوي على كلمة مرور يمكن أن يعرض علاقات الهوية.
سيادة البيانات والمحلية بقيت في الغالب مجهولة عامة
الملف يتضمن سيادة البيانات ومحليتها لأن Reddit منصة عالمية ولأن الإشعار العام حدد مزودي الخدمات السحابية واستضافة الأكواد بدلاً من مركز بيانات بسيط في موقع واحد. مستخدمو Reddit ليسوا محصورين في ولاية قضائية واحدة. عناوين بريدهم الإلكتروني وتواريخ حساباتهم ورسائلهم وسجلات الملخصات قد تشمل أشخاصًا في الولايات المتحدة وأوروبا وآسيا وأمريكا اللاتينية وأفريقيا ومناطق أخرى. الإشعار العام لم يقدم خريطة محلية مفصلة للنسخة الاحتياطية أو سجلات الملخصات.
غياب التفصيل العام ليس غير معتاد في إشعارات الحوادث. غالبًا ما تتجنب الشركات الكشف عن تفاصيل البنية التحتية التي قد تساعد المهاجمين. لكن غياب تفصيل المحلية يترك سؤال حوكمة. إذا كانت منصة عالمية تخزن نسخًا احتياطية تاريخية وسجلات مزودين سحابيين، من يعرف في أي ولايات قضائية يتم تخزين البيانات، ومن من موظفي المزود أو مسارات الدعم يمكنهم الوصول إليها، وما القوانين وقواعد الإشعار بالاختراق التي تنطبق، وأي المستخدمين يجب أن يحصلوا على معلومات خاصة بالمنطقة؟ تلك الأسئلة مهمة حتى عندما يتم التعامل مع الحادثة في إطار إفصاح عام بالولايات المتحدة.
بيان تسجيل Reddit اللاحق لدى SEC علىhttps://www.sec.gov/Archives/edgar/data/1713445/000162828024006294/reddits-1q423.htmوفهرس ملفات علاقات المستثمرين علىhttps://investor.redditinc.com/financials/sec-filings/default.aspxليسا مصادر تحقيق خاصة بالحادثة. إنهما مهمان لأنهما يظهران سياق Reddit الحالي كشركة عامة والأهمية المستمرة لالتزامات الخصوصية والأمن والاعتدال والبيانات والثقة لمنصة عالمية. حادثة 2018 تسبق إدراج Reddit العام، لكن إفصاح مخاطر الشركة العامة يؤكد على نفس فئة المساءلة: فشل أمن البيانات يمكن أن يؤثر على ثقة المستخدم والتعرض التنظيمي والعمليات التجارية والسمعة.
لهذه المقالة، الاستنتاج المدعوم ضيق. من المعقول استنتاج أن بيانات المنصة العالمية والبنية التحتية القائمة على المزود تجعل حوكمة المحلية ذات صلة. وليس من المعقول الادعاء، من السجل العام، أن Reddit انتهكت قاعدة محددة لنقل البيانات في حادثة 2018. يجب أن يطلب ملف المساءلة دليلاً على خريطة المحلية، وليس اختراع إجابة. البيان العام الصحيح هو أن المحلية والسيادة كانتا أسئلة حوكمة جوهرية مع إفصاح عام غير مكتمل.
الإشعار كان عليه الفصل بين بيانات الاعتماد القديمة وروابط الهوية الحالية
كان على إشعار Reddit العام مخاطبة مجموعتين مختلفتين من المتأثرين. مجموعة واحدة شملت المستخدمين الذين كانت بياناتهم في النسخة الاحتياطية القديمة لعام 2007، بما في ذلك بيانات اعتماد الحسابات المبكرة وعناوين البريد الإلكتروني. والأخرى شملت المستخدمين الذين أنشأت ملخصات البريد الإلكتروني ليونيو 2018 روابط بين اسم المستخدم والبريد الإلكتروني. تلك المجموعات لها ملفات مخاطر مختلفة وإجراءات مستخدم مختلفة ومتطلبات أدلة مختلفة. دمجهم في إشعار اختراق عام واحد كان سيضعف المساءلة.
لمجموعة النسخة الاحتياطية القديمة، كانت إعادة استخدام كلمة المرور هي المخاطر الواضحة التي تواجه المستخدم. قالت Reddit إنها كانت تطلب إعادة تعيين كلمات المرور حيث قد تظل بيانات الاعتماد صالحة وتوصي المستخدمين بتغيير كلمات المرور على خدمات أخرى إذا كانوا قد أعادوا استخدامها. هذه النصيحة معقولة لأن بيانات الاعتماد القديمة المجزأة يمكن أن تصبح خطيرة عند إعادة استخدامها في مكان آخر، خاصة إذا كانت كلمة المرور الأصلية ضعيفة أو تم كسر التجزئة. لكن مسؤولية المنصة ليست فقط إخبار المستخدمين بتغيير كلمات المرور. بل هي شرح لماذا كانت نسخة احتياطية من عصر 2007 قابلة للوصول، وما طريقة حماية بيانات الاعتماد المستخدمة، وما الذي تغير بعد الحدث.
لمجموعة ملخصات البريد الإلكتروني، كان إجراء المستخدم أقل وضوحًا. لا يمكن للمستخدم تدوير تاريخ اسم المستخدم بنفس طريقة تدوير كلمة المرور. يمكن للمستخدم تغيير عنوان البريد الإلكتروني وإلغاء الاشتراك من الملخصات وتقوية حساب البريد الإلكتروني والانتباه للتصيد. لكن الرابط قد يكون موجودًا بالفعل خارج سيطرة المستخدم. هذا يجعل تحديد النطاق وأدلة الإشعار من المنصة مهمين بشكل خاص. يحتاج المستخدم إلى معرفة ما إذا كانت السجلات المكشوفة تحتوي فقط على اسم المستخدم وعنوان البريد الإلكتروني، وما إذا كانت تحتوي على مواضيع الملخصات أو مراجع المشاركات، وما إذا كانت تتضمن أي معرفات إضافية. إشعار Reddit العام حدد الرابط، لكن الجمهور لا يمكنه فحص مخطط السجل.
ساعد سجل التقارير العام في تضخيم التمييز. سلطت Wired الضوء على مسار حساب الموظف وسياق التخزين السحابي والأكواد. أكدت Ars Technica على بيانات كلمة المرور والرسائل وعناوين البريد الإلكتروني وضعف الرسائل النصية. أكد KrebsOnSecurity على الدرس حول الرسائل النصية. تقرير ESET's WeLiveSecurity علىhttps://www.welivesecurity.com/2018/08/02/reddit-reveals-breach-staffs-2fa/أشار إلى أن الاختراق شمل نسخة احتياطية قديمة لقاعدة البيانات وأسماء المستخدمين وعناوين البريد الإلكتروني لملخصات يونيو. تلك الحسابات مفيدة للتسلسل الزمني، لكن إشعار الشركة يظل الأساس لأدق تحديد النطاق.
ملخصات عامة إضافية علىhttps://siliconangle.com/2018/08/01/historical-data-stolen-reddit-sms-two-factor-authentication-intercept-hack/وhttps://www.helpnetsecurity.com/2018/08/02/reddit-breach/مفيدة بشكل رئيسي لأنها تحافظ على نفس التسلسل العام: حسابات موظفين، اعتراض رسائل نصية، بيانات نسخ احتياطية تاريخية، وسجلات ملخصات بريد إلكتروني حديثة. ليست سجلات تحقيق مستقلة، لكنها تساعد في إظهار أن قضية المساءلة كانت مرئية فورًا، وليس فقط أعيد بناؤها بعد سنوات. إرشادات الأمن التجاري العامة من FTC علىhttps://www.ftc.gov/business-guidance/resources/start-security-guide-businessوhttps://www.ftc.gov/business-guidance/resources/protecting-personal-information-guide-businessتعزز نفس الموضوعات حول حدود الوصول وانضباط الاحتفاظ وإشراف مزود الخدمة والتعامل الحذر مع المعلومات الشخصية.
التشغيل الآلي للأمن لا يكون مسؤولاً إلا عندما يعرف ما هي البيانات التي يحميها
يظهر التشغيل الآلي للأمن في هذه القضية في شكلين: تشغيل المصادقة الآلي وتشغيل حوكمة البيانات الآلي. التشغيل الآلي للمصادقة يقرر ما إذا كان يجب السماح بجلسة موظف. التشغيل الآلي لحوكمة البيانات يقرر أي النسخ الاحتياطية والسجلات موجودة، وكم من الوقت تعيش، ومن يمكنه قراءتها، وكيف يتم اكتشاف الوصول. تظهر حادثة 2018 أن التشغيل الآلي الذي يبدو قويًا يمكن أن يفشل إذا لم يتم مطابقته لحساسية الأصل.
يمكن لتحدي الرسائل النصية أن يوقف هجمات التصفح الواسعة. إنه أضعف ضد محاولة مستهدفة للوصول إلى حسابات مزودي الموظفين. جدول النسخ الاحتياطي يمكن أن يحمي المرونة. يصبح محفوفًا بالمخاطر إذا بقيت النسخ الاحتياطية القديمة قابلة للوصول عبر بيانات اعتماد إدارية واسعة. خط أنابيب التسجيل يمكن أن يدعم تسليم البريد الإلكتروني والتشخيص. يصبح محفوفًا بالمخاطر إذا أنشأ خرائط دائمة بين اسم المستخدم والبريد الإلكتروني دون حدود احتفاظ ووصول ضيقة. سير عمل الإشعار يمكنه الاتصال بالمستخدمين المتأثرين بسرعة. يصبح غير كافٍ إذا لم تستطع المنصة تحديد المستخدمين المتأثرين بثقة.
ضوابط مركز أمن الإنترنت علىhttps://www.cisecurity.org/controlsوإطار عمل NIST للأمن السيبراني علىhttps://www.nist.gov/cyberframeworkتساعد في تأطير هذا كمشكلة نظام تحكم. الجرد وإدارة الحسابات والتحكم في الوصول وحماية البيانات وإدارة سجلات المراجعة والتكوين الآمن والاستجابة للحوادث وإدارة مزود الخدمة كلها تتقاطع. المقالة لا تستخدم هذه الأطر كدليل على أن Reddit فشلت في تحكم معين. تستخدمها كمفردات لما يجب أن يغطيه ملف معالجة مسؤول.
أهم سؤال تشغيل آلي بعد هذه الحادثة هو قياس نصف قطر الانفجار. عندما يتم اختراق هوية مميزة، هل يمكن للمنظمة الإجابة بسرعة عن أي النسخ الاحتياطية والمستودعات والسجلات والأسرار وسجلات العملاء كانت قابلة للقراءة؟ إذا استغرقت الإجابة وقتًا طويلاً، لا تستطيع الشركة إشعار المستخدمين بدقة. إذا كانت الإجابة تعتمد على المعرفة القبلية اليدوية، تكون المنصة عرضة لتحديد نطاق غير مكتمل. إذا كانت الإجابة آلية لكنها تستبعد مخازن النسخ الاحتياطية أو سجلات البريد الإلكتروني، قد تفوت المنصة بالضبط البيانات التاريخية التي تخلق مخاطر.
اقتصاديات الاتصال المسيء غيرت نموذج الضرر
تقع حادثة Reddit عند تقاطع الأمن واقتصاديات الاتصال المسيء. المهاجم الذي يعرف اسم مستخدم وعنوان بريد إلكتروني يمكنه نقل الإساءة من بيئة الاعتدال في المنصة إلى البريد الإلكتروني وحشو بيانات الاعتماد والتحرش والابتزاز والفضح والتصيد المستهدف. مجتمعات Reddit تشمل العديد من المناقشات العادية منخفضة المخاطر، لكن المنصة تستضيف أيضًا سياقات حساسة. اسم مستخدم غير ضار في مجتمع قد يكون حساسًا في آخر. عنوان بريد إلكتروني قابل للوصول يغير اقتصاديات الاستهداف لأن المهاجم لم يعد مضطرًا للاعتماد على التعليقات العامة أو الرسائل الخاصة داخل المنصة.
لهذا السبب يجب ألا يبالغ التحليل الآمن العام في الضرر مع أخذ التعرض على محمل الجد. الحقائق المؤكدة تظهر أن بعض علاقات اسم المستخدم والبريد الإلكتروني تم كشفها من خلال سجلات ملخصات البريد الإلكتروني وأن بيانات النسخة الاحتياطية القديمة تضمنت بيانات اعتماد وعناوين بريد إلكتروني. الحقائق المؤكدة لا تظهر أن كل مستخدم متأثر تم استهدافه، أو أن كل كلمة مرور تم كسرها، أو أن كل عضوية في مجتمع تم كشفها. الاستنتاج المدعوم هو أن بيانات ربط الهوية تزيد من مخاطر الاتصال ومعقولية الهندسة الاجتماعية. هذا الاستنتاج معقول لأنه يتبع من فئات البيانات.
لذلك يجب أن تشمل مساءلة المنصة إشعارًا يراعي الإساءة. إشعار أمني عام يقول فقط "غير كلمة مرورك" قد يفوت المخاطر الاجتماعية للهويات المرتبطة. إشعار أفضل يساعد المستخدمين على فهم مخاطر التصيد وتقوية حساب البريد الإلكتروني وإعادة استخدام كلمة المرور واسترداد الحساب وتفضيلات الملخصات وحدود ما تعرفه الشركة. تضمن إشعار Reddit التزامات رسائل خاصة بالمستخدم وخطوات إعادة تعيين كلمة المرور. السؤال العام غير المجاب هو مدى تفصيل تلك الرسائل الخاصة بالمستخدم وما إذا كانت شرحت مخاطر ربط الهوية بطريقة تناسب سياق المستخدم.
الحادثة تظهر أيضًا لماذا لا يمكن فصل خصوصية المستخدم عن حوكمة وصول الموظفين. قد تسمح المنصة للمستخدمين باختيار أسماء مستعارة، لكن إذا كانت البنية التحتية التي يديرها الموظفون يمكنها كشف روابط البريد الإلكتروني من خلال السجلات أو النسخ الاحتياطية، فإن نموذج الاسم المستعار يعتمد على الأمن الإداري. هذا لا يعني أن الاسم المستعار مستحيل. يعني أن المنصة يجب أن تتعامل مع مجموعات بيانات ربط البريد الإلكتروني كأصول عالية الحساسية حتى عندما تكون منتجات ثانوية تشغيلية.
حقائق مؤكدة واستنتاجات مدعومة ومجهولات
الحقائق العامة المؤكدة تتضمن بيان Reddit الخاص بأن المهاجمين اخترقوا العديد من حسابات الموظفين في مزودي الخدمات السحابية واستضافة الأكواد بين 14 و 18 يونيو 2018. الحقائق العامة المؤكدة تشمل أيضًا بيان Reddit بأن تلك الحسابات كانت محمية بالمصادقة الثنائية عبر الرسائل النصية، وأن المهاجمين حصلوا على وصول القراءة فقط إلى بعض الأنظمة التي تحتوي على بيانات احتياطية وأكواد برمجية وسجلات، وأن نسخة احتياطية قديمة لقاعدة البيانات من 2007 وما قبله تم الوصول إليها، وأن سجلات ملخصات البريد الإلكتروني ليونيو 2018 التي تربط أسماء المستخدمين وعناوين البريد الإلكتروني تم الوصول إليها.
أكدت Reddit أيضًا أنها تواصلت مع المستخدمين المتأثرين واتخذت خطوات تخفيف، بما في ذلك إعادة تعيين كلمات المرور لبعض الحسابات.
الاستنتاجات المدعومة تشمل أن المصادقة القائمة على الرسائل النصية لم تكن مناسبة بمفردها للوصول عالي المخاطر للموظفين إلى حسابات المزودين التي لديها وصول إلى النسخ الاحتياطية والأكواد والسجلات. الاستنتاجات المدعومة تشمل أيضًا أن النسخ الاحتياطية القديمة وسجلات البريد الإلكتروني خلقت مخاطر حالية للمستخدمين لأنها احتوت على بيانات اعتماد وعناوين بريد إلكتروني وروابط اسم مستخدم وبريد إلكتروني. استنتاج مدعوم آخر هو أن المصادقة الثنائية الأقوى وأقل امتياز وتقسيم النسخ الاحتياطية ومراجعة الاحتفاظ وتقليل السجلات وتحليل نصف قطر الانفجار الآلي هي موضوعات معالجة ذات صلة.
هذه الاستنتاجات مدعومة بفئات بيانات Reddit الخاصة وأطر التحكم العامة، لكنها ليست نفس نتائج التحقيق الخاص.
المجهولات تشمل الطريقة الدقيقة المستخدمة لاعتراض أو تجاوز الرسائل النصية، هويات مزودي الخدمات السحابية واستضافة الأكواد، القائمة الكاملة لحسابات الموظفين المتأثرة، الكمية المحددة من الأكواد البرمجية التي تم الوصول إليها، بنية تخزين النسخ الاحتياطية الكاملة، طريقة التجزئة الدقيقة لبيانات الاعتماد القديمة، مخطط السجل الكامل لملخصات البريد الإلكتروني، جدول الاحتفاظ الكامل، خريطة المنطقة أو المحلية للبيانات المتأثرة، وما إذا حدث أي إساءة محددة في اتجاه مجرى النهر بسبب السجلات المكشوفة. تشمل المجهولات أيضًا المجموعة الكاملة لخطوات المعالجة بعد الحادثة. إشعار Reddit العام مفيد، لكنه ليس تقرير تحقيق كامل.
تلك الحدود ضرورية لكتابة مساءلة عامة آمنة. لا يجب أن تتهم المقالة Reddit بسوء السلوك المتعمد أو السلوك الإجرامي أو التعرض المتعمد. السجل العام يدعم ادعاء أضيق وأكثر فائدة: أظهرت الحادثة أن المصادقة الثنائية للموظفين عبر الرسائل النصية وامتياز حساب المزود والاحتفاظ بالنسخ الاحتياطية وسجلات الاتصال بالمستخدم يجب أن تدار كنظام مساءلة واحد. عندما يفشل هذا النظام، لا يكون التعرض مجرد فشل تسجيل دخول. إنه اختبار ما إذا كانت المنصة يمكنها إثبات ما هي البيانات الموجودة، ولماذا كانت موجودة، ومن يمكنه قراءتها، ومن تأثر، وما الذي تغير بعد الاختراق.
الوصول إلى المزود جعل أقل امتياز قابل للقياس
طبقة الوصول إلى المزود هي حيث يصبح أقل امتياز قابل للقياس وليس بلاغيًا. يمكن للشركة القول إنها تقيد وصول الإنتاج، لكن الاختبار العملي هو ما يمكن لحساب موظف مخترق قراءته عبر لوحات السحابة ومستودعات الأكواد ومخازن النسخ الاحتياطية وأنظمة التسجيل وأدوات الدعم. قال إشعار Reddit إن المهاجمين حصلوا على وصول القراءة فقط إلى بعض الأنظمة التي تحتوي على بيانات احتياطية وأكواد برمجية وسجلات. هذه الجملة كافية لتحديد سطح تحكم المساءلة.
إذا كان حساب المزود يمكنه القراءة عبر هذه الفئات، فيجب أن تكون المنصة قادرة على تبرير لماذا هذا الحساب لديه هذا الوصول، وما إذا كان الوصول مؤقتًا أم دائمًا، وما إذا كان مرتبطًا بوضع الجهاز والموقع، وما إذا كان يتطلب مصادقة ترقية أقوى، وما إذا كان كل قراءة يتم تسجيلها بدقة كافية لتحديد النطاق لاحقًا.
أقل امتياز يجب أيضًا أن يتم تقييمه حسب عمر البيانات. قاعدة بيانات الإنتاج الحالية قد تحظى بأكبر قدر من الاهتمام لأنها تشغل الخدمة الحية. يمكن أن تكون النسخة الاحتياطية التاريخية أسهل في النسيان لأنها ليست جزءًا من تجربة المستخدم العادية. لكن جلسة سحابية مميزة يمكنها قراءة النسخ الاحتياطية القديمة لها نصف قطر انفجار مختلف عن جلسة يمكنها فقط نشر الأكواد أو قراءة مقاييس المراقبة أو إدارة خدمة ضيقة. السجل العام لا يكشف نموذج الوصول الدقيق لـ Reddit. الدرس المدعوم هو أن حسابات المزودين يجب أن تُخطط وفقًا لفئات البيانات، وليس فقط للأنظمة. "يمكن قراءة بيانات احتياطية" هو امتياز مختلف جوهريًا عن "يمكن إعادة تشغيل خدمة."
هذا التمييز مهم أيضًا لوصول الأكواد البرمجية. الأكواد البرمجية ليست تلقائيًا بيانات شخصية، لكن مستودعات الأكواد يمكن أن تحتوي على أسرار عن طريق الخطأ وتفاصيل المخطط وأدلة تدفق البيانات واتفاقيات التسجيل ومعلومات الاعتماد ونصوص النشر أو تعليقات تساعد المهاجم على فهم مكان وجود السجلات الحساسة. السجل العام لا يظهر أن أكواد Reddit البرمجية استُخدمت لاستغلال لاحق. مع ذلك، يجب على فريق الاستجابة للحوادث تحديد ما إذا كان الوصول إلى الأكواد يغير تقييم المخاطر. يتطلب ذلك سجلات مراجعة المستودعات وفحص الأسرار وقرارات تدوير المفاتيح وطريقة لفصل سرية الأكواد عن تعرض بيانات المستخدم.
يجب أن تشمل الإشراف على المزود أيضًا سرعة الإلغاء. بمجرد أن اكتشفت Reddit الحادثة، كان يجب مراجعة الحسابات والرموز والجلسات والمفاتيح ومنح المزودين وبيانات اعتماد المستودعات ذات الصلة. ملف استجابة ناضج سيظهر مدى سرعة تعطيل الوصول المتأثر، وما إذا تم تدوير بيانات الاعتماد، وما إذا تم استبدال عوامل الرسائل النصية، وما إذا تم إنهاء جلسات المزود، وما إذا نجت أي رموز دائمة من نافذة الحادثة المواجهة للمستخدم. تلك التفاصيل ليست عامة. تحليل المساءلة لا يحتاج إلى اختراعها. يحتاج إلى تسميتها كالدليل الذي من شأنه تحويل ضمان عام إلى سجل معالجة قابل للتحقق.
تقليل النسخ الاحتياطية هو سؤال مرونة، وليس فكرة لاحقة للخصوصية
تقليل النسخ الاحتياطية قد يبدو وكأنه ترف للخصوصية حتى تثبت حادثة أنه تحكم في المرونة. نسخة احتياطية تحتوي على بيانات اعتماد قديمة وعناوين بريد إلكتروني قديمة وبيانات تعريف حساب قديمة يمكن أن تخلق عمل استجابة بعد سنوات. على المنظمة تحديد المستخدمين المتأثرين، وما إذا كانت بيانات الاعتماد لا تزال صالحة، وما إذا كانت طريقة التجزئة قوية بما يكفي، وما إذا كانت عناوين البريد الإلكتروني حالية، وما إذا كان يمكن الوصول إلى صاحب البيانات، وما إذا كانت سجلات الحسابات القديمة لها وضع قانوني مختلف عن السجلات الحالية. تلك المهام تستهلك وقت الاستجابة للحوادث بالضبط عندما تكون السرعة مهمة.
برنامج نسخ احتياطي أفضل لا يحذف ببساطة كل البيانات القديمة. تحتاج المنصات إلى قابلية الاسترداد والاحتفاظ القانوني وتحقيقات الإساءة والنزاهة التاريخية. نقطة المساءلة هي الاحتفاظ المحدد بالغرض. نسخة احتياطية محتفظ بها لاسترداد الكوارث يجب أن يكون لها غرض استرداد محدد وحد تشفير وفترة احتفاظ ومسار وصول واختبار استرداد واختبار حذف. نسخة احتياطية محتفظ بها لأمر قانوني يجب أن يكون لها نموذج وصول ومراجعة مختلف. نسخة احتياطية محتفظ بها لأنه لا أحد يعرف ما إذا كان يمكن حذفها هي فشل مساءلة في انتظار اختراق. توضح حادثة Reddit 2018 لماذا يجب أن يكون لسجلات المنصة القديمة مالك حالي.
تقليل النسخ الاحتياطية يغير أيضًا جودة الإشعار. إذا كانت السجلات القديمة مقسمة بشدة ومشفرة بمفاتيح مسيطر عليها بشكل منفصل ومفهرسة حسب فئة الاحتفاظ، يمكن لمستجيبي الحوادث تحديد نطاق التعرض بسرعة. إذا كانت السجلات القديمة مختلطة بأنظمة الأكواد أو تخزين سحابي واسع أو سجلات تشغيلية فضفاضة، قد يضطر المستجيبون إلى إعادة بناء نصف قطر الانفجار تحت الضغط. الإشعار العام أعطى المستخدمين معلومات مفيدة عن فئات البيانات، لكنه لم يظهر عملية الجرد الأساسية. لمنصة ذات مستخدمين عالميين وهوية مستعارة، عملية الجرد تلك مركزية للثقة.
ينطبق نفس المبدأ على سجلات ملخصات البريد الإلكتروني. إذا تم الاحتفاظ بسجلات الملخصات لاستكشاف أخطاء التسليم، يجب أن تتطابق نافذة الاحتفاظ مع ذلك الغرض. إذا تم الاحتفاظ بها للتحليلات، يجب أن تسأل الشركة ما إذا كان يجب أن يظل كل من اسم المستخدم وعنوان البريد الإلكتروني في نفس السجل. إذا تم الاحتفاظ بها لتحقيقات مكافحة الإساءة، يجب أن يكون الوصول محدودًا ومراقبًا بشدة. يمكن أن يكون نظام الملخصات ميزة راحة للمستخدمين بينما يخلق أيضًا خريطة هوية عالية القيمة للمهاجمين. يجب أن يتعرف التشغيل الآلي المسؤول على هذه الطبيعة المزدوجة قبل الحادثة، وليس فقط بعد الإفصاح.
ثقة المستخدم تعتمد على اللغة الدقيقة
تظهر حادثة Reddit أيضًا لماذا اللغة الدقيقة مهمة في إشعار الاختراق. قول "تم الوصول إلى بعض البيانات" ليس كافيًا لمنصة مبنية حول الاستخدام المستعار. يحتاج المستخدمون إلى معرفة ما إذا كانت البيانات المتأثرة يمكن أن تكشف الوصول إلى الحساب أو قابلية الاتصال أو ربط الهوية أو الاتصالات الخاصة أو بيانات الاعتماد القديمة. إشعار Reddit فصل النسخة الاحتياطية لعام 2007 عن سجلات ملخصات البريد الإلكتروني ليونيو 2018. هذا الفصل ساعد المستخدمين على فهم مسارين مختلفين للمخاطر. كما خلق سجلاً عامًا يمكن للمحللين لاحقًا اختباره مقابل أطر التحكم.
اللغة الدقيقة تتجنب أيضًا المبالغة غير الضرورية. لم يقل الإشعار أن كلمات المرور الحالية تم كشفها على نطاق واسع. لم يقل أن كل مستخدم Reddit تأثر. لم يقل أن جميع الرسائل الخاصة تم كشفها بنفس طريقة مجموعة النسخة الاحتياطية القديمة. لغة المساءلة الجيدة تخبر المستخدمين بما هو معروف وما هو مستبعد وما يظل غير مؤكد. يجب أن تكون محددة دون أن تكون مطمئنة بشكل خاطئ. إشعار يقلل من الحدث يمكن أن يؤدي إلى تآكل الثقة؛ إشعار يبالغ في الحدث يمكن أن يخلق ارتباكًا وإرهاقًا.
لمجموعة النسخة الاحتياطية لعام 2007، كان على اللغة الدقيقة شرح مخاطر بيانات الاعتماد التاريخية. لمجموعة ملخصات يونيو 2018، كان عليها شرح مخاطر ربط الهوية. للمجتمع الأوسع، كان عليها شرح لماذا كانت مصادقة الموظفين الأقوى مهمة حتى لو لم يتم الاستيلاء على حسابات المستخدمين العادية مباشرة. تلك الجماهير متداخلة لكنها ليست متطابقة. مشرف أو مشارك في مجتمع حساس أو مستخدم قديم بكلمات مرور معاد استخدامها أو مشترك حديث في الملخصات قد يقرأ نفس الإشعار من خلال عدسة مخاطر مختلفة. تتحسن المساءلة العامة عندما تعطي المنصة كل مجموعة معلومات كافية للعمل.
كيف ستبدو المساءلة بعد الحدث
الاستجابة المسؤولة لهذا النوع من الحوادث لها عدة طبقات. أولاً، يجب أن تنتقل حسابات مزودي الموظفين عالية المخاطر بعيدًا عن العوامل الثانية القائمة على الرسائل النصية نحو طرق مقاومة للتصيد أو أقوى قائمة على التطبيق/الجهاز، مع إدارة وصول مميزة وضوابط شرطية للجلسات غير العادية. ثانيًا، يجب أن يكون الوصول إلى مزودي السحابة والأكواد محدودًا بحيث لا يفتح اختراق عدد صغير من حسابات الموظفين مسارات قراءة واسعة للنسخ الاحتياطية والأكواد والسجلات. ثالثًا، يجب جرد النسخ الاحتياطية التاريخية وتشفيرها وتقسيمها ومراجعة احتفاظها كمخازن بيانات مستخدم، وليس كعناصر تشغيلية خاملة.
رابعًا، يجب تصنيف سجلات ملخصات البريد الإلكتروني والإشعارات حسب مخاطر الربط. سجل يربط اسم المستخدم بعنوان البريد الإلكتروني يجب أن يكون له غرض احتفاظ وحد احتفاظ وسياسة وصول ونموذج مراقبة. خامسًا، يجب أن يكون للاستجابة للحوادث أدلة آلية لأسئلة نصف قطر الانفجار: ما الذي كان قابلاً للقراءة، ومتى، ومن خلال أي مزود، وتحت أي امتياز، ومع أي فئات بيانات. سادسًا، يجب أن يفرق إشعار المستخدم بين مخاطر بيانات الاعتماد ومخاطر ربط الهوية ومخاطر استرداد الحساب ومخاطر التصيد. يحتاج المستخدمون المتأثرون إلى نصائح ملموسة مرتبطة بالبيانات المكشوفة، وليس تحذيرًا عامًا واحدًا.
صفحة قاعدة إفصاح الأمن السيبراني للـ SEC علىhttps://www.sec.gov/news/press-release/2023-139هي سياق مفيد لأنه يُتوقع الآن من الشركات العامة الإفصاح عن حوادث الأمن السيبراني المادية ووصف إدارة مخاطر الأمن السيبراني والاستراتيجية والحوكمة. حادثة Reddit لعام 2018 تسبق إدراجها العام ولا يتم الحكم عليها هنا بموجب قواعد الإفصاح اللاحقة. اتجاه المساءلة الأوسع لا يزال ذا صلة: حوكمة الأمن السيبراني لم تعد مجرد وظيفة دعم تقني. إنها قضية لمجلس الإدارة والمستثمرين والمنظمين وثقة المستخدم والمرونة التشغيلية.
الدرس النهائي هو أن البيانات القديمة لا تبقى قديمة عندما تظل قابلة للوصول. أصبحت نسخة احتياطية من 2007 ذات صلة في 2018. أصبح سجل بريد إلكتروني من يونيو 2018 تعرضًا لهوية المستخدم لأنه ربط الحسابات بعناوين البريد الإلكتروني. تحكم الرسائل النصية الذي قد بدا كافيًا للوصول العادي أصبح غير كافٍ لجلسات المزود المميزة. قضية Reddit هي اختبار مساءلة دائم للمنصات التي تعتمد على المشاركة المستعارة: احم باب الموظف، ولكن أثبت أيضًا أن النسخ الاحتياطية والسجلات وسجلات الاتصال محكومة بنفس الجدية مثل بيانات الحساب الحية.
إرشادات المصادقة الثنائية الحالية من CISA علىhttps://www.cisa.gov/MFAتشير في نفس الاتجاه للمشغلين المعاصرين: المصادقة الثنائية الأقوى ليست تحكمًا زخرفيًا، خاصة حيث يمكن للوصول المميز الوصول إلى بيانات المستخدم. بالنسبة لقضية Reddit لعام 2018، هذا يعني أن الدرس الدائم ليس شعارًا ضد الرسائل النصية. إنه شرط لمواءمة قوة المصادق وامتياز المزود وحساسية النسخ الاحتياطية والاحتفاظ بالسجلات وأدلة إشعار المستخدم قبل أن تحول حادثة وصول موظف التالية أرشيفًا تاريخيًا إلى مشكلة إفصاح حالية.

