ملخص

لماذا تنتمي هذه الحالة إلى ملف المخاطر والمساءلة

تنتمي Reddit إلى ملف المخاطر والمساءلة لأن عرض القيمة العامة لها كان دائمًا يعتمد على مزيج هش من المشاركة المفتوحة والهوية المستعارة والإشراف المجتمعي والبنية التحتية المركزية للمنصة. يمكن للمستخدمين الكشف عن اهتمامات حساسة وآراء سياسية وأسئلة صحية ومخاوف متعلقة بالعمل ومعلومات محلية وعلاقات ومشاكل مالية أو مؤشرات هوية تحت أسماء مستخدمين قد لا تكون مرتبطة بأسمائهم الحقيقية في التصفح العام العادي. لذا فإن الاختراق الذي يربط عناوين البريد الإلكتروني وأسماء المستخدمين والرسائل الخاصة القديمة وبيانات الاعتماد القديمة ومتلقي ملخصات البريد الإلكتروني يغير مخاطر المستخدم حتى لو كانت السجلات المكشوفة ليست ملفًا كاملاً.

لا تقتصر مشكلة المساءلة للمنصة على ما إذا كان شخص ما قد سرق كلمات المرور الحالية. بل تتعلق بما إذا كانت المنصة قادرة على إثبات أن السجلات القديمة والنسخ الاحتياطية والسجلات وأنظمة الاتصال ووصول الموظفين الإداري لم يصبح جسرًا دائمًا بين المشاركة المستعارة وإمكانية الاتصال في العالم الحقيقي.

السجل العام الأساسي هو إعلان Reddit الخاص في أغسطس 2018 علىhttps://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/. قالت Reddit إنها علمت أن أحد المهاجمين اخترق عددًا قليلاً من حسابات الموظفين في موفري الخدمات السحابية واستضافة الكود المصدري بين 14 و18 يونيو 2018. وقالت الشركة إن الحسابات كانت محمية بالمصادقة الثنائية، لكن العامل الثاني كان الرسائل النصية، واستنتجت Reddit أن المصادقة القائمة على الرسائل النصية لم تكن آمنة كما كانت تأمل. قالت Reddit إن المهاجم حصل على وصول للقراءة فقط لبعض الأنظمة التي تحتوي على بيانات نسخ احتياطي وكود مصدري وسجلات أخرى. كما قالت Reddit إن المهاجم حصل على نسخة كاملة من نسخة احتياطية قديمة لقاعدة البيانات تحتوي على بيانات مبكرة لمستخدمي Reddit من عام 2007 وما قبله، وسجلات تحتوي على ملخصات البريد الإلكتروني التي أرسلتها Reddit في يونيو 2018.

هذا الكشف جعل الحادث أوسع من مجرد قصة إعادة تعيين كلمة المرور. لم يكن المهاجم بحاجة إلى تعديل محتوى Reddit لخلق تعرض للمساءلة. كان الوصول للقراءة فقط كافيًا إذا كانت الأنظمة القابلة للوصول تحتوي على نسخ احتياطية تاريخية وكود مصدري وسجلات وسجلات اتصال بالمستخدمين. كانت النسخة الاحتياطية قديمة، لكن البيانات القديمة لا تزال قادرة على تحديد الأشخاص. كانت ملخصات البريد الإلكتروني حديثة، لكنها تم إنشاؤها بواسطة ميزة اتصال وليس بواسطة المستخدم الذي يقوم بتصدير بيانات الحساب بشكل صريح. كانت حسابات الموظفين محمية، لكن العامل الثاني المختار كان عرضة للاعتراض.

كل حقيقة تشير إلى مالك تحكم مختلف: إدارة الهوية والوصول، الاحتفاظ بالنسخ الاحتياطية، الوصول إلى موفر السحابة، استضافة الكود المصدري، عمليات البريد الإلكتروني، التسجيل، إخطار المستخدم، والاستجابة القانونية.

سؤال البيان هو إذن ليس "هل تم اختراق Reddit؟" بشكل مجرد. سؤال المساءلة هو: من كان لديه سيطرة عملية على المصادقة الثنائية للموظفين عبر SMS، والوصول إلى السحابة واستضافة الكود المصدري، والاحتفاظ بالنسخ الاحتياطية، وتقليل السجلات، وربط هوية ملخصات البريد الإلكتروني، وإخطار المستخدم، وإثبات أن البيانات القديمة لم تبق أكثر تعرضًا مما توقعه المستخدمون بشكل معقول؟ أجاب إشعار Reddit العام عن جزء من هذا السؤال من خلال تحديد فئات البيانات وخطوات التخفيف.

لم يكشف، ومن المحتمل أنه لم يستطع في إشعار عام، عن خريطة الوصول الكاملة للموردين، وجميع حسابات الموظفين المتأثرة، والأساس المنطقي الكامل للاحتفاظ بالنسخ الاحتياطية، ومخطط السجل الكامل، أو كل إشارة كشف أدت إلى الاكتشاف.

بدأ الحادث بوصول الموظفين، وليس استيلاء على حسابات المستخدمين

التمييز الأول في المساءلة هو بين الاستيلاء على حساب المستخدم واختراق وصول الموظف. وصف إعلان Reddit الخاص اختراق حسابات الموظفين مع موفري الخدمات الذين يدعمون سير العمل السحابي والكود المصدري. تقرير Wired المعاصر علىhttps://www.wired.com/story/reddit-hacked-thanks-to-woefully-insecure-two-factor-setup/أكد أن المهاجمين حصلوا على الوصول عن طريق اختراق حسابات إدارية للموظفين مرتبطة بالتخزين السحابي وتخزين الكود المصدري. تقرير TechCrunch علىhttps://techcrunch.com/2018/08/01/reddit-breach-exposes-user-data-but-not-much/وصف بالمثل اعتراض المصادقة الثنائية عبر SMS كطريق حول تحكم كانت تملكه Reddit. KrebsOnSecurity علىhttps://krebsonsecurity.com/2018/08/reddit-breach-highlights-limits-of-sms-based-authentication/أطر الحدث كدرس في حدود الرسائل النصية كعامل ثانٍ.

هذا التمييز مهم لأن نصائح المستخدمين العامة يمكن أن تنحرف بطريقة أخرى إلى إجراء تخفيف خاطئ. يمكن للمستخدمين تغيير كلمات المرور، والتوقف عن إعادة استخدام بيانات الاعتماد القديمة، وتمكين حماية أقوى للحساب، واليقظة للتصيد. هذه الخطوات مفيدة. لكن المستخدمين لم يتمكنوا من إصلاح طريقة مصادقة الموظفين التي تحمي حسابات موفري Reddit. لم يتمكنوا من تحديد كيفية تخزين Reddit لبيانات النسخ الاحتياطي. لم يتمكنوا من تحديد سجلات ملخصات البريد الإلكتروني التي تم الاحتفاظ بها. لم يتمكنوا من فرض أقل امتياز عبر موفري السحابة واستضافة الكود المصدري.

عندما تقع الحدود المخترقة داخل البيئة الإدارية لمشغل المنصة، يجب أن يظل جواب المساءلة مع المشغل وموفريه، وليس مع المستخدمين المتأثرين.

تظهر الحقائق العامة أيضًا لماذا "القراءة فقط" ليست صفة منخفضة المخاطر بمفردها. الوصول للقراءة فقط يمنع تغيير المحتوى، لكنه لا يمنع الاستخراج والربط وكسر بيانات الاعتماد وفحص الكود المصدري أو الهندسة الاجتماعية لاحقًا. في سياق المنصة، قراءة نسخة احتياطية قديمة يمكن أن تكشف بيانات اعتماد تاريخية للحساب وعناوين بريد إلكتروني. قراءة السجلات يمكن أن تكشف أي حساب تلقى أي اتصال. قراءة الكود المصدري يمكن أن تساعد المهاجم في فهم البنية، على الرغم من أن التقارير العامة لم تثبت استخدام الكود المصدري لهجوم لاحق. المساءلة تتطلب فصل هذه الاحتمالات. من العدل أن نقول إن الوصول للقراءة فقط يمكن أن يكون خطيرًا.

ليس من العدل، بناءً على السجل العام وحده، الادعاء بأن كل إساءة استخدام محتملة لاحقة حدثت.

قام إشعار Reddit بعمل مفيد في تحديد النطاق من خلال تسمية ما كان متضمنًا. النسخة الاحتياطية الأقدم احتوت على بيانات اعتماد الحساب وعناوين بريد إلكتروني من 2007 وما قبله. قالت Reddit إن تلك البيانات كانت مممّلة ومجزّأة. سجلات ملخصات البريد الإلكتروني لشهر يونيو 2018 احتوت على أسماء مستخدمين وعناوين بريد إلكتروني مرتبطة للمستخدمين الذين اشتركوا في تلك الملخصات. قالت Reddit إنها كانت ترسل رسائل إلى المستخدمين المتأثرين وتطلب إعادة تعيين كلمات المرور للحسابات التي قد تكون بيانات اعتمادها لا تزال صالحة. هذه حقائق عامة مؤكدة.

كما تكشف موضوع المساءلة المركزي: يجب تقييم ضوابط الأمان من خلال ما يمكن لحساب موظف مخترق قراءته، وليس فقط من خلال ما إذا كان المهاجم يمكنه تغيير محتوى الإنتاج.

المصادقة الثنائية عبر SMS أصبحت فشل التحكم المرئي

الدرس الأكثر اقتباسًا من الحادث هو أن المصادقة الثنائية القائمة على الرسائل النصية أضعف من البدائل المقاومة للتصيد أو القائمة على التطبيقات للوصول الإداري عالي المخاطر. تقرير Ars Technica علىhttps://arstechnica.com/information-technology/2018/08/password-breach-teaches-reddit-that-yes-phone-based-2fa-is-that-bad/وضع هذا الدرس بوضوح. Wired وKrebsOnSecurity أكدا نفس النقطة بعبارات مختلفة. بيان Reddit الخاص قال إن المصادقة عبر الرسائل النصية لم تكن آمنة كما كانت تأمل الشركة. أصبحت هذه العبارة الملخص العام للاختراق.

الملخص مفيد، لكنه يمكن أن يصبح ضيقًا جدًا. الرسائل النصية معرضة لاحتيال تبديل بطاقة SIM وإساءة استخدام نقل الرقم والهندسة الاجتماعية للناقل ونقاط الضعف في الإشارات والبرامج الضارة على نقاط النهاية واعتراض الإشعارات وأوضاع الفشل التشغيلية التي لا يتحكم فيها مشغل المنصة بشكل كامل. لحسابات المستهلكين العادية، قد تكون الرسائل النصية أفضل من عدم وجود عامل ثانٍ ضد حشو بيانات الاعتماد الواسع. لوصول الموظفين إلى الأنظمة السحابية وأنظمة الكود المصدري ومخازن النسخ الاحتياطية وأدوات دعم الإنتاج ومستودعات السجلات، عتبة المخاطر مختلفة. الوصول الإداري عالي القيمة يحتاج إلى ضمان أقوى وربط جهاز أقوى ومقاومة أقوى للتصيد وضوابط جلسة مميزة ومراقبة مستمرة.

NIST SP 800-63B، المتاح علىhttps://pages.nist.gov/800-63-3/sp800-63b.html، ذو صلة لأنه يعامل المصادقة خارج النطاق عبر شبكة الهاتف العامة كمصدق مقيد. النقطة لهذه القضية ليست أن وثيقة NIST واحدة تحكم بعد وقوعها على حادث Reddit. النقطة هي أن المعايير العامة كانت قد تحركت بالفعل نحو نظرة أكثر حذرًا للرسائل النصية. للوصول الإداري، يجب على المنصة أن تتوقع تبرير لماذا مصدق مقيد كافٍ، وما هي الضوابط التعويضية الموجودة، ومدى السرعة التي يمكنها بها الانتقال إلى عوامل أقوى للموظفين الذين لديهم وصول إلى بيانات المستخدم والنسخ الاحتياطية والكود المصدري والسجلات ولوحات تحكم المزود.

يجب أن يتجنب ملف المساءلة إذن الاستنتاج الكسول بأنه لم يكن لدى Reddit عامل ثانٍ. كان لدى Reddit مصادقة ثنائية. الفشل هو أن العامل الثاني المختار لم يوفر ضمانًا كافيًا لنموذج التهديد. هذا درس أكثر دقة وأكثر فائدة. يمكن أن يوجد تحكم ويظل غير كافٍ. يمكن أن تكون قائمة التحقق مستوفاة بينما تظل المخاطر عالية جدًا. الاختبار ليس ما إذا كانت المنصة تستطيع أن تقول "المصادقة الثنائية كانت مفعلة"؛ الاختبار هو ما إذا كان شكل المصادقة الثنائية مناسبًا للأصل والفاعل وحساب المزود ونصف قطر الانفجار.

النسخ الاحتياطية حولت البيانات التاريخية إلى تعرض حالي

الدرس الثاني يتعلق بالمساءلة عن بيانات النسخ الاحتياطي. قالت Reddit إن المهاجم وصل إلى نسخة كاملة من نسخة احتياطية قديمة لقاعدة البيانات تحتوي على بيانات مبكرة للمستخدمين من عام 2007 وما قبله. تضمنت تلك النسخة الاحتياطية بيانات اعتماد الحساب وعناوين بريد إلكتروني. وصفت Reddit كلمات المرور بأنها مممّلة ومجزّأة، وهو أمر مهم لأن الحماية التشفيرية تقلل من مخاطر بيانات الاعتماد الفورية. لكن وجود النسخة الاحتياطية في مكان يمكن الوصول إليه من خلال حسابات موفر مخترقة لا يزال يثير أسئلة حول الاحتفاظ والوصول والتشفير والتجزئة والحذف.

النسخ الاحتياطية ضرورية للمرونة. لا يمكن للمنصة العمل بمسؤولية دون قابلية الاسترداد. لكن أنظمة النسخ الاحتياطي ليست مجرد تأمين تشغيلي. إنها مخازن بيانات موازية. غالبًا ما تحتوي على مخططات أقدم وحقول مهملة ومعرفات تاريخية وبيانات لم تعد أنظمة الإنتاج تتعرض لها بنفس الطريقة. قد يتم نسخها عبر المناطق والاحتفاظ بها بجداول زمنية مختلفة والوصول إليها من قبل مسؤولين مختلفين. كلما كانت النسخة الاحتياطية أقدم، زادت احتمالية أن تعكس حقولها ممارسات أمان سابقة وخوارزميات تجزئة سابقة وافتراضات منتج سابقة وتوقعات خصوصية سابقة.

لهذا السبب لا يمكن اختزال هذا الحادث إلى عمر النسخة الاحتياطية. عمر النسخة الاحتياطية يمكن أن يحد من عدد المستخدمين الحاليين المتأثرين مباشرة بإعادة استخدام بيانات الاعتماد، لكنه يمكن أن يخلق أيضًا خطرًا مختلفًا: الأشخاص الذين انضموا إلى منصة في سنواتها المبكرة ربما استخدموا عناوين بريد إلكتروني ورسائل وكلمات مرور مرتبطة بهويات فصلوها لاحقًا. عنوان بريد إلكتروني من 2007 قد لا يزال عنوان استرداد حساب أو عنوان مهني أو عنوان مدرسة أو دليل اسم مستخدم. كلمة مرور مممّلة ومجزّأة قد لا تزال قابلة للكسر حسب الخوارزمية ومعالجة الملح وقوة كلمة المرور وموارد المهاجم. السجل العام لا يثبت أن جميع هذه المخاطر تحققت، لكنه يثبت أنه كان يجب تقييمها.

NIST SP 800-53 Rev. 5 علىhttps://csrc.nist.gov/publications/detail/sp/800-53/rev-5/finalتوفر لغة تحكم مفيدة لهذا الجزء من الحادث: التحكم في الوصول والتدقيق والمساءلة وحماية الوسائط وحماية النظام والاتصالات والتخطيط للطوارئ وتقييم المخاطر. هذه ضوابط عامة، وليست نتائج خاصة بـ Reddit. إنها تساعد في تحديد الأسئلة التي يجب أن يجيب عليها برنامج احتياطي مسؤول. من يستطيع سرد النسخ الاحتياطية؟ من يستطيع قراءة النسخ الاحتياطية؟ هل النسخ الاحتياطية مشفرة بمفاتيح غير متاحة لجلسات موفر السحابة العادية؟ هل النسخ الاحتياطية التاريخية مجزأة عن سير عمل الكود المصدري؟ هل يتم تسجيل عمليات الوصول بطريقة تنجو من الاختراق؟ هل يتم اختبار النسخ الاحتياطية القديمة من أجل الحذف والتقليل، وليس فقط من أجل الاسترداد؟

المجهولات العامة مهمة. إشعار Reddit لعام 2018 لم يكشف عن بنية تخزين النسخ الاحتياطية الدقيقة أو ترتيبات التشفير أو نموذج إدارة المفاتيح أو جدول الاحتفاظ الكامل أو تكوين المزود. كما لم يكشف عما إذا كانت النسخة الاحتياطية القديمة التي تم الوصول إليها هي النسخة التاريخية الوحيدة في متناول اليد. هذه المجهولات لا تثبت الإهمال. إنها تحدد ما لا يمكن للجمهور التحقق منه بشكل مستقل. في سجل مساءلة المنصة، الحدود بين الحقائق المؤكدة وأسئلة التحكم غير المجابة هي جزء من التحليل.

ملخصات البريد الإلكتروني خلقت سطح ربط هوية

ملخصات البريد الإلكتروني لشهر يونيو 2018 هي أهم حد إخطار للمستخدم في القضية. قالت Reddit إن المهاجم وصل إلى سجلات تحتوي على ملخصات البريد الإلكتروني المرسلة بين 3 و 17 يونيو 2018، وأن تلك السجلات ربطت أسماء المستخدمين بعناوين البريد الإلكتروني. ملخصات البريد الإلكتروني لا تعتبر عادة بنية تحتية عالية المخاطر للهوية. إنها اتصالات منتج. لكنها يمكن أن تربط اسم مستعار بعنوان بريد إلكتروني حقيقي أو دائم. لمنصة مبنية حول المجتمعات، هذا الارتباط يمكن أن يكون حساسًا حتى عندما لا يتضمن كلمة مرور أو بطاقة دفع أو رقم جواز سفر أو معرف حكومي.

تعتمد الحساسية على السياق. اسم مستخدم مرتبط بمجتمع هوايات عام قد لا يخلق ضررًا ذا معنى. اسم مستخدم مرتبط بمجتمعات دعم أو خطاب سياسي أو شكاوى وظيفية أو مناقشات جنس أو جنسانية أو ظروف صحية أو مشاكل قانونية أو تعافي من الإدمان أو نشاط محلي أو إبلاغ عن مخالفات يمكن أن يخلق تعرضًا مختلفًا. عنوان البريد الإلكتروني قد يحدد الشخص مباشرة. قد يحدد صاحب العمل أو المدرسة أو مجال العائلة أو المنطقة. قد يكون أيضًا عنوان استرداد يمكن للخصوم استخدامه للتصيد. اقتصاديات الاتصال المسيء واضحة: بمجرد ربط اسم المستخدم بعنوان بريد إلكتروني، يصبح استهداف الشخص خارج Reddit أرخص.

هذا لا يعني أن كل متلقي ملخص متأثر تعرض للضرر. السجل العام لا يثبت ذلك. يعني أن المنصة كان عليها التعامل مع قابلية الاتصال كفئة تعرض، وليس كأثر اتصالات بسيط. قال إشعار Reddit إنه سيرسل رسائل إلى المستخدمين الذين تأثرت عناوين بريدهم الإلكتروني الحالية بسجلات الملخصات. هذه الاستجابة ذات صلة لأنها اعترفت بأن المستخدمين المتأثرين لم يقتصروا على مجموعة النسخة الاحتياطية القديمة من 2007. سكان ملخصات البريد الإلكتروني الأخيرة خلقوا مجموعة إخطار ثانية.

يظهر الحادث أيضًا لماذا تحتاج سجلات المنتج إلى مراجعة خصوصية. السجلات غالبًا ما تُبنى لتصحيح الأخطاء والتحليلات ودعم العملاء ومراجعة مكافحة الإساءة وقابلية تسليم البريد الإلكتروني أو المراقبة التشغيلية. يمكن أن تتراكم المعرفات لأن ذلك يجعل التشخيص أسهل. لكن عندما يربط السجل هوية مستخدم بعنوان قابل للوصول، يصبح بيانات حساسة. يجب أن يصنف أتمتة الأمان السجلات إذن حسب ما يمكنها ربطه، وليس فقط حسب ما إذا كانت تحتوي على أسرار. السجل الذي لا يحتوي على كلمة مرور لا يزال يمكن أن يكشف علاقات هوية.