ملخص
- تعتبر قضية كشف أرقام الهواتف في Authy مهمة لأن تطبيق المصادقة يمكن أن يصبح دليلاً للاستهداف إذا فشلت ضوابط كشف نقاط النهاية والتعداد.
- من كان لديه السيطرة العملية على كشف نقاط نهاية Authy، وتعداد أرقام الهواتف، وضوابط معدل الإساءة، وإخطارات المستخدمين، وإرشادات مكافحة التصيد، وإعدادات حماية الحسابات الافتراضية، والدليل على أن تطبيق المصادقة لم يصبح دليلاً للاستهداف؟
- تتعلق مسألة المساءلة بأن خدمة المصادقة تخزن بيانات يمكن للمهاجمين استخدامها لاستهداف نفس الأشخاص الذين يعتمدون عليها لحمايتهم، لذا يصبح منع التعداد وخصوصية الإخطارات واجبات ثقة أساسية.
- كان مستخدمو Authy، وفرق الأمان، ومحللو الاحتيال، وأصحاب الحسابات المحمولة، والمطورون، والمنظمون، ومشترو خدمات المصادقة بحاجة إلى أدلة على أن كشف أرقام الهواتف قد تم احتواؤه وترجمته إلى إرشادات حماية قابلة للتنفيذ.
- تتعامل هذه المقالة مع التقارير العامة حول الكشف، ووثائق الأمان والخصوصية من Twilio، وتوثيق Authy و Verify، وإرشادات المعايير العامة كمسارات أدلة منفصلة.
لماذا تنتمي هذه القضية إلى ملف حول المخاطر والمساءلة
جعلت Twilio من كشف أرقام هواتف Authy اختبارًا للمساءلة في مجال إساءة استخدام الهوية لأن خدمات المصادقة تحمل بيانات ثقة يمكن للمهاجمين إعادة استخدامها حتى دون الحصول على الرمز السري نفسه. رقم الهاتف المرتبط بتطبيق مصادقة ليس مجرد معلومات اتصال. يمكن أن يصبح إشارة للتصيد، ومحاولات تبديل بطاقة SIM، والهندسة الاجتماعية، وإساءة استخدام استرداد الحساب، والبريد العشوائي المستهدف، والتحرش. الكشف حساس بشكل خاص لأن السكان المتأثرين اختاروا أنفسهم: هم أشخاص اعتمدوا أداة مصادقة لأنهم أرادوا حماية أقوى.
المحفز العام محدود ولكنه ثقيل العواقب. وصفت التقارير العامة إفصاح Twilio عن أن جهات ضارة حددت بيانات مرتبطة بحسابات Authy من خلال نقطة نهاية غير موثقة. مسألة المساءلة لا تقتصر على ما إذا كان المهاجمون قد حصلوا على رموز المصادقة. بل تتعلق بما إذا كانت الخدمة قد سمحت بتعداد أرقام الهواتف، وكيف فشلت ضوابط المعدل ومصادقة نقاط النهاية أو تم تجاوزها، وبأي سرعة تم احتواء الكشف، وبأي خصوصية تم إبلاغ المستخدمين، وما إذا كانت الإرشادات تطابق مسارات الإساءة الناتجة عن استهداف أرقام الهواتف. الفرق مهم لأن المستخدمين لا يمكنهم تغيير أرقام هواتفهم بسهولة مثل كلمة المرور.
صفحة الأمان الحالية لـ Twilio علىhttps://www.twilio.com/en-us/security، وصفحة الخصوصية علىhttps://www.twilio.com/en-us/legal/privacy، وصفحة الحالة علىhttps://status.twilio.com/، وتوثيق Authy علىhttps://www.twilio.com/docs/authy، وتوثيق Verify علىhttps://www.twilio.com/docs/verifyتوفر السياق الرسمي لكيفية تقديم خدمات الهوية وبيانات المستخدم وضوابط الثقة للعامة. تقارير مثلhttps://www.bleepingcomputer.com/news/security/twilio-confirms-data-breach-after-hackers-leak-33m-authy-user-phone-numbers/وhttps://www.securityweek.com/twilio-says-hackers-identified-phone-numbers-of-authy-users/توفر الجدول الزمني العام لكشف Authy. يجب الاحتفاظ بهذه المصادر في مسارات منفصلة: وثائق الشركة تظهر التزامات الضوابط العامة والتوثيق؛ المقالات الإخبارية توفر تقاريرًا عامة معاصرة؛ مصادر المعايير توفر مفردات الضبط.
تنتمي هذه القضية إلى سلسلة حول المخاطر والمساءلة لأن أضرار إساءة استخدام الهوية غالبًا ما تكون مؤجلة ومجزأة ويصعب إسنادها. يمكن استخدام قائمة بأرقام هواتف مرتبطة بمستخدمي تطبيق مصادقة لاحقًا في عمليات احتيال مستهدفة. قد يتلقى المستخدم رسالة أو مكالمة مقنعة دون أن يفهم لماذا تم اختياره. قد يلاحظ فريق الاحتيال زيادة في محاولات تبديل بطاقة SIM دون معرفة أي كشف سابق ساهم في الاستهداف. قد يرغب مطور يقيم موفري الهوية في معرفة ما إذا كان المزود يعالج منع التعداد كضبط من الدرجة الأولى. لذا فإن الحادثة الفورية ليست سوى جزء من القضية. المشكلة المستمرة هي ما إذا كانت الأدلة العامة تسمح للمستخدمين والمؤسسات بتقليل الإساءة اللاحقة.
تطبيق مصادقة يمكن أن يصبح سطح استهداف
تُسوق تطبيقات المصادقة وتُعتمد كأدوات دفاعية. هذا التأطير عادة ما يكون صحيحًا: يمكن للرموز المستندة إلى التطبيق تقليل مخاطر سرقة كلمة المرور وبعض نماذج التصيد. لكن الأدوات الدفاعية تجمع دائمًا بيانات وصفية، ويمكن أن تصبح هذه البيانات الوصفية مفيدة للمهاجمين. رقم الهاتف المرتبط بحساب Authy يعطي معلومات عن المستخدم. يشير إلى أن الرقم قد يكون مرتبطًا بحسابات محمية بمصادقة متعددة العوامل، وأن المستخدم قد يعتمد على هوية محمولة، وأن سيناريو الهندسة الاجتماعية قد يتكيف مع سياق المصادقة.
لذا فإن مشكلة المساءلة لا تقتصر على السيطرة على الحساب. إذا قام المهاجمون بتعداد أرقام الهواتف المرتبطة بخدمة مصادقة، فقد لا يحتاجون إلى رموز المصادقة لإحداث ضرر. يمكنهم إرسال رسائل تصيد متنكرين في صورة الخدمة، ومحاولة تبديل بطاقة SIM لدى المشغلين، واستهداف تدفقات استرداد الحساب في خدمات أخرى، أو بناء قوائم لهجمات مستقبلية باستخدام بيانات الاعتماد. توفر صفحة MITRE حول جمع معلومات هواتف الضحايا علىhttps://attack.mitre.org/techniques/T1589/002/وصفحتها حول تقنية التصيد علىhttps://attack.mitre.org/techniques/T1566/مفردات عامة تشرح لماذا يمكن أن تصبح بيانات الاتصال المكشوفة مواد استهداف تشغيلية، وليست استنتاجات محددة حول Authy.
لهذا السبب فإن خصوصية الإخطارات مهمة. إذا أخبرت الشركة المستخدمين فقط بأن أرقام هواتفهم قد كُشفت، فقد يفهمون ذلك كمشكلة خصوصية. إذا شرحت الشركة مسارات الإساءة المحتملة، يمكن للمستخدمين التعامل معها كمشكلة أمان: الحذر من الرسائل ذات طابع Authy، وتعزيز حماية حساب المشغل، ومراجعة إعدادات استرداد الحساب، والتحقق من الرسائل عبر القنوات الرسمية، وتنبيه فرق الدعم بأن المهاجرين قد يشيرون إلى تطبيق المصادقة. يمكن لنفس الحقيقة أن تنتج سلوكًا وقائيًا مختلفًا اعتمادًا على كيفية تقديمها.
مزود خدمة المصادقة لديه سيطرة عملية على مصادقة نقاط النهاية، وتحديد المعدل، وكشف الإساءة، والتسجيل، والإخطارات العامة، وإرشادات تحديث التطبيق، والإعدادات الافتراضية التي تقلل المخاطر بعد الكشف. المستخدمون لديهم سيطرة عملية على أمان أجهزتهم، والاستجابة للتصيد، ورموز PIN للمشغل عند توفرها، ونظافة استرداد الحساب. فرق الأمان لديها السيطرة على تدريب الموظفين، ونصوص فرق الدعم، والتنبيهات. لكن كل هذه الضوابط النهائية تعتمد على الأدلة الأولية من المزود: ما الذي كُشف، ولأي فترة، ومن خلال أي نوع من نقاط النهاية، وأي إساءة لوحظت أو محتملة.
لذا فإن قضية Authy هي حالة حدود ثقة. يثق المستخدمون في الخدمة لمساعدتهم في حماية حسابات أخرى. كانت الخدمة تحمل أيضًا بيانات يمكن أن تساعد المهاجمين في تحديد هؤلاء المستخدمين. المساءلة تدور حول ما إذا كان ملف Twilio العام جعل هذا الدور المزدوج واضحًا بما يكفي للمستخدمين والمشترين لاتخاذ إجراء.
كشف نقطة النهاية هو فشل حوكمة قبل أن يكون عنوانًا في الصحيفة
نقطة نهاية غير موثقة ليست مجرد خطأ برمجي. في خدمة هوية، إنه فشل حوكمة لأن ذلك يعني أن مسارًا متاحًا للعموم كشف بيانات ارتباط حساسة دون دليل التفويض المناسب أو التحكم في المعدل أو مقاومة الإساءة. توفر إدخال CWE حول عدم وجود مصادقة علىhttps://cwe.mitre.org/data/definitions/306.htmlوالتقييد غير الصحيح لمحاولات المصادقة المفرطة علىhttps://cwe.mitre.org/data/definitions/307.htmlمفردات ضبط مفيدة. إنها لا تقرر ما حدث داخل Twilio. إنها تظهر لماذا تنتمي هذه الفئة من المشاكل إلى ملف مساءلة.
يجب أن تجيب حوكمة نقاط النهاية على أسئلة أساسية قبل حدوث حادثة. ما نقاط النهاية التي تكشف ما إذا كان كائن الهوية موجودًا؟ ما نقاط النهاية التي يمكن استعلامها على نطاق واسع؟ ما نقاط النهاية التي ترجع استجابات مختلفة للمستخدمين الصالحين وغير الصالحين؟ ما نقاط النهاية التي تكشف بيانات الاتصال، أو بيانات الاتصال المقنعة، أو وجود حساب، أو حالة الجهاز، أو تلميحات الاسترداد؟ ما الضوابط التي تكشف أنماط التعداد؟ ما السجلات التي يتم الاحتفاظ بها لفترة كافية لإعادة بناء النطاق؟ أي فرق المنتجات تملك قرار جعل نقطة نهاية عامة أو موثقة أو محددة المعدل أو متوقفة؟
إذا لم تتم الإجابة على هذه الأسئلة قبل الكشف، فإنها تصبح أكثر صعوبة بعد ذلك. قد يكون المزود قادرًا على إغلاق نقطة النهاية بسرعة، لكنه لا يزال يكافح لإثبات عدد السجلات التي تم استعلامها، وما إذا كان هجوم المهاجرين كاملاً أم جزئيًا، وما المستخدمون المتأثرون، وما إذا تم إساءة استخدام نقاط النهاية ذات الصلة. يصبح هذا الغموض تكلفة عامة. يحتاج المستخدمون إلى معرفة ما إذا كانوا معرضين شخصيًا لمخاطر لاحقة. تحتاج فرق الأمان إلى معرفة ما إذا كان يجب عليهم تنبيه الموظفين. يحتاج المنظمون إلى فهم فشل الضبط ونطاق الحادثة. يحتاج المشترون إلى أدلة على أن مخزون نقاط النهاية وكشف الإساءة في الخدمة قد تغير.
مواد OWASP حول أمان API فيما يتعلق باستهلاك الموارد غير المقيد علىhttps://owasp.org/API-Security/editions/2023/en/0xa4-unrestricted-resource-consumption/ذات صلة لأن التعداد غالبًا ما يعتمد على النطاق. قد يبدو طلب واحد غير ضار. ملايين الطلبات يمكن أن تحول الخدمة إلى دليل. سؤال الحوكمة هو ما إذا كانت الخدمة تعامل النطاق نفسه كإشارة خطر. حدود المعدل، وكشف الشذوذ، ومتطلبات المصادقة، وتوحيد الاستجابات، وحظر الإساءة ليست إضافات اختيارية لبيانات الهوية الوصفية. إنها الفرق بين وظيفة البحث وقناة الاستخراج.
لذا يجب أن يتجنب ملف المساءلة العام استنتاجًا ضيقًا مثل "تم تصحيح نقطة النهاية". نقطة النهاية المصححة تخبر المستخدمين أن المسار المعروف قد أُغلق. لا تخبرهم ما إذا كان المزود قد فحص نقاط النهاية المجاورة، أو عدل قواعد مراجعة التصميم، أو حسّن ضوابط المعدل، أو اختبر التعداد، أو حدّث التسجيل. بالنسبة لخدمة مصادقة، يجب أن يصل الإصلاح إلى العملية التي سمحت بكشف نقطة النهاية.
إخطار المستخدم يجب أن يترجم الكشف إلى حماية
إخطار المستخدم مفيد فقط إذا غير ما يمكن للمستخدمين وفرق الأمان فعله. بالنسبة لكشف أرقام هواتف Authy، سيميز إخطار قابل للتنفيذ عدة حقائق. سيقول ما إذا كانت رموز المصادقة أو كلمات مرور الحساب أو بيانات البدء أو النسخ الاحتياطية أو أسرار الجهاز متورطة. سيقول ما هي بيانات الاتصال أو ارتباط الحساب التي كُشفت. سيحدد المخاطر اللاحقة المحتملة: التصيد، والسماشينغ، واستهداف تبديل بطاقة SIM، وانتحال دعم Authy، وإساءة استخدام استرداد الحساب في خدمات أخرى. سيوصي بإجراءات حماية يمكن للمستخدمين اتخاذها بشكل واقعي.
إرشادات مكافحة التصيد من CISA علىhttps://www.cisa.gov/news-events/news/avoiding-social-engineering-and-phishing-attacks، وإرشادات MFA "تأمين عالمنا" علىhttps://www.cisa.gov/secure-our-world/turn-mfa، وإرشادات كلمات المرور علىhttps://www.cisa.gov/secure-our-world/use-strong-passwordsتظهر الأساس العام لإرشادات العمل. الهدف ليس أن يحتاج كل مستخدم متأثر إلى برنامج أمان. الهدف هو أن يربط الإخطار البيانات المكشوفة بقائمة إجراءات قصيرة وواقعية. المستخدم الذي يعلم فقط "قد يكون رقم هاتفك قد كُشف" قد لا يفعل شيئًا. المستخدم الذي يعلم "يمكن للمهاجمين الآن انتحال شخصية Authy أو مشغلك؛ لا تشارك الرموز؛ تحقق من الرسائل عبر القنوات الرسمية؛ احم حسابك المحمول" لديه فرصة أفضل لتقليل الضرر.
يجب أن يحترم الإخطار أيضًا عبء المستخدم. إخبار المستخدمين "بأن يكونوا يقظين" ضعيف بينما يمكن للمزود تقديم إرشادات أكثر تحديدًا. اليقظة مسؤولية دون سيطرة. الإرشادات الأفضل تسمي سلوكيات محددة يجب تجنبها، وإعدادات محددة يجب فحصها، وقنوات دعم محددة لاستخدامها. كما تشرح ما فعله المزود بالفعل: إزالة نقطة النهاية، تحديثات التطبيق، مراقبة الإساءة، تغييرات ضبط المعدل، التحديثات القسرية عند الاقتضاء، وإخطار إضافي إذا ظهرت إساءات جديدة.
تحتاج فرق الأمان إلى نسخة مختلفة من الإخطار. إذا استخدم الموظفون Authy لحساباتهم المهنية، يجب على فريق الأمان معرفة ما إذا كان يجب إصدار تحذيرات داخلية، ومراقبة التصيد بطابع Authy، وتحديث نصوص فرق الدعم، ومراجعة المستخدمين عاليي المخاطر، وطلب من المشغلين أو مالكي الحسابات تعزيز عمليات الاسترداد. قد لا يكون الإخطار الموجه للمستهلكين كافيًا لفرق مخاطر المؤسسات. يجب على مزودي خدمات الهوية افتراض أن الكشف الذي يؤثر على المصادقين له عواقب تنظيمية، حتى لو كانت حقول البيانات محدودة.
أخيرًا، يجب أن يحافظ الإخطار على عدم اليقين دون الاختباء وراءه. إذا لم تكن Twilio تعرف ما إذا كانت جميع أرقام الهواتف المستعلم عنها قد استُخدمت لاحقًا، يمكنها قول ذلك. إذا كان لديها أدلة على أن ارتباط أرقام الهواتف فقط هو المتورط، يمكنها قول أي الأدلة تدعم هذا الحد. إذا أوصت بتحديثات التطبيق، يمكنها شرح ما إذا كان التحديث ضروريًا للاحتواء أو فقط للدفاع في العمق. لا يحتاج المستخدمون إلى يقين زائف. إنهم بحاجة إلى ملف قرار.
أرقام الهواتف صعبة التغيير وسهلة التسليح
رقم الهاتف ليس كلمة مرور. إنه مضمن في حسابات المشغلين، والسجلات المصرفية، وتطبيقات المراسلة، وسير عمل خدمة العملاء، وتدفقات الاسترداد، وجهات الاتصال العائلية، والسجلات العامة، والأنظمة الحكومية أو المهنية. عندما يُكشف رقم هاتف مرتبط بتطبيق مصادقة، فإن الاستجابة المتاحة للمستخدم محدودة. لا يمكنه ببساطة النقر على "إعادة تعيين رقم الهاتف" في جميع جوانب حياته. هذا يجعل الوقاية والإخطار أكثر أهمية من تحويل العبء بعد الحادثة.
المخاطر اللاحقة معروفة جيدًا. إرشادات FTC حول تبديل بطاقة SIM علىhttps://consumer.ftc.gov/articles/sim-swap-scams-how-protect-yourselfوإرشادات FCC حول الاحتيال عبر الهاتف المحمول علىhttps://www.fcc.gov/consumers/guides/cell-phone-fraudهي موارد حماية المستهلك، حتى لو كانت بعض المواقع العامة قد تطبق حماية بالروبوتات للوصول الآلي. إنها تظهر لماذا ينتمي كشف الأرقام المحمولة إلى ملف حول إساءة استخدام الهوية. المهاجمون الذين يعرفون الرقم والموقف الأمني للهدف يمكنهم محاولة إقناع مشغل أو فريق دعم أو الهدف نفسه.
إرشادات NIST للهوية الرقمية علىhttps://pages.nist.gov/800-63-3/sp800-63b.htmlذات صلة أيضًا لأن المصادقين والقنوات خارج النطاق واسترداد الحساب لها خصائص ضمان مختلفة. مرة أخرى، لا تستخدم هذه المقالة NIST كاستنتاج بشأن Twilio. إنها تستخدم NIST لشرح لماذا يجب إدارة أرقام الهواتف وأنظمة المصادقة بحذر. يمكن أن يكون رقم الهاتف معرفًا مناسبًا، لكن الراحة لا تجعله منخفض المخاطر عندما يكون مرتبطًا بحضور خدمة مصادقة.
يجب أن يسأل معيار المساءلة كيف قلل تصميم المزود من كشف أرقام الهواتف قبل الحدث. هل كانت أرقام الهواتف تُعاد فقط عند الضرورة؟ هل كانت الاستجابات موحدة لمنع اختبار وجود الحساب؟ هل كانت نقاط النهاية موثقة؟ هل كانت محاولات التعداد محددة المعدل ومكتشفة؟ هل كانت السجلات كافية لإخطار المستخدمين المتأثرين بدقة؟ هل تم تطبيق مبادئ تقليل البيانات على سير العمل الدعم والتحليل والمنتجات؟ تلتقي الخصوصية والأمان عند هذه النقطة. كلما قلّت البيانات الوصفية غير الضرورية المكشوفة، قلّ حجم دليل الاستهداف الذي يمكن للمهاجرين بناؤه.
يمكن ويجب على المستخدمين اتخاذ إجراءات وقائية، لكن عمل المستخدم لا يلغي مسؤولية المزود. الشركة التي تدير تطبيق مصادقة لديها واجب متزايد لتجنب جعل المستخدمين أسهل للاستهداف. إذا كانت استجابتها العامة تعتمد بشكل أساسي على إخبار المستخدمين بمراقبة الرسائل المشبوهة، فإن الملف غير مكتمل. يجب عليها أيضًا شرح ما تغير داخل الخدمة لتقليل احتمال أن بيانات اتصال المستخدمين يمكن تعدادها مرة أخرى.
مشترو خدمات المصادقة يحتاجون إلى أدلة، لا إلى طمأنة
الشركات والمطورون والمؤسسات المنظمة الذين يقيمون خدمات المصادقة يحتاجون إلى أدلة على أن الخدمة تعالج منع الإساءة كمتطلب منتج. لا يمكنهم الاعتماد فقط على صفحة ثقة أو نظرة عامة على الأمان أو سياسة خصوصية عامة. هذه الوثائق مهمة، لكن مساءلة المشترين تتطلب أدلة أكثر تحديدًا: مخزون نقاط النهاية، وضوابط معدل الإساءة، والمراقبة، ومراجعة أمان واجهات برمجة التطبيقات العامة، وأدلة إخطار الحوادث، وحدود الاحتفاظ بالبيانات، والإعدادات الافتراضية التي تقلل تعرض المستخدمين.
توثيق واجهة برمجة تطبيقات Verify من Twilio علىhttps://www.twilio.com/docs/verify/api، ونظرة عامة على Verify علىhttps://www.twilio.com/docs/verify، وشرح المصادقة الثنائية علىhttps://www.twilio.com/docs/glossary/what-is-two-factor-authentication-2faتظهر سياق المنتج الذي تُشترى وتُدمج فيه خدمات الهوية. توثيق Authy علىhttps://www.twilio.com/docs/authyيظهر السياق القديم والمنتج لاستخدام المصادقة. هذه الصفحات لا تجيب على جميع الأسئلة حول الحادثة. إنها تساعد المشترين على فهم أي الأسطح والافتراضات يجب فحصها بعد الكشف.
يجب أن يسأل ملف مساءلة المشترين ما إذا كان المزود يمكنه تقديم سرد ضبط واضح. ما عناصر البيانات اللازمة للمصادقة؟ أيها اختياري؟ أيها مكشوف لمسارات الدعم أو واجهة برمجة التطبيقات؟ ما نقاط النهاية التي يمكنها تأكيد وجود حساب؟ ما إشارات الإساءة التي تُراقب؟ ماذا يحدث عند اكتشاف تعداد؟ كيف يتم إخطار المستخدمين؟ هل يمكن للمزود إنتاج قائمة سريعة بالمستخدمين المتأثرين؟ ما مسار تحديث التطبيق أو التكوين الموجود إذا كان يجب تعديل الضبط؟
يجب على المشترين أيضًا السؤال كيف يفصل المزود أدلة الحالة عن أدلة الأمان. قد تشير صفحة حالة الخدمة إلى ما إذا كانت المنتجات تعمل. قد لا تقول ما إذا كانت نقطة النهاية قد أُسيء استخدامها للتعداد. صفحة حالة Twilio علىhttps://status.twilio.com/مفيدة للشفافية التشغيلية، لكن حوادث الأمان تتطلب خصوصية إضافية. إذا كان حدث أمان لا يخفض التوفر، فقد يخفض الثقة. لا يجب أن يجبر ملف المساءلة العام القراء على الخلط بين التوفر وضمان الأمان.
أخيرًا، يحتاج المشترون إلى معرفة كيف يدعم المزود التواصل النهائي. إذا كانت شركة تستخدم خدمات هوية Authy أو Twilio لعملائها أو موظفيها، فقد تحتاج إلى إخطارها الخاص، ونصوص الدعم، وتقييم المخاطر. المزود الذي يقدم فقط تصريحات عامة يضعف هذا العمل النهائي. المزود الذي يقدم حقائق محددة، ومسارات إساءة، وضوابط موصى بها، والتزامات متابعة يساعد المشترين على حماية نفس المستخدمين الذين كانت ثقتهم على المحك.
يجب قياس ضوابط الإساءة كضوابط تشغيلية
غالبًا ما يُناقش منع الإساءة كوظيفة أمان، لكن في هذه الحالة، إنه ضبط تشغيلي. مصادقة نقاط النهاية، وحدود المعدل، وكشف الشذوذ، وتوحيد الاستجابات، والدفاعات ضد الروبوتات، والتسجيل، والتنبيهات تحدد ما إذا كان يمكن استعلام منتج حتى كشف البيانات. كما تحدد ما إذا كان المزود يمكنه إعادة بناء ما حدث. إذا لم تستطع شركة قياس الإساءة، لا يمكنها الإخطار بدقة.
ضوابط CIS علىhttps://www.cisecurity.org/controlsوإطار الأمان السيبراني من NIST علىhttps://www.nist.gov/cyberframeworkتوفر مفردات عالية المستوى مفيدة لجرد الأصول، والتسجيل، والمراقبة، والتحكم في الوصول، والاستجابة للحوادث، والتحسين. لا تحل محل ملف خاص بالمزود. يجب أن يقول الملف الخاص بالمزود كيف تم إغلاق كشف نقطة نهاية Authy، وما الأسطح المجاورة التي تم فحصها، وما تغييرات ضبط المعدل التي تم إجراؤها، وما الإشارات التي ستكتشف التعدادات المستقبلية، وما الأدلة التي ستؤدي إلى إخطار جديد.
يجب أيضًا اختبار ضوابط الإساءة مقابل الواقع الاقتصادي. يمكن للمهاجمين توزيع الاستعلامات، والإبطاء، وتدوير البنية التحتية، ومزج التعداد مع المرور الشرعي. قد لا يكفي حد معدل بسيط إذا اختلفت الاستجابات الصالحة وغير الصالحة من حيث التوقيت أو الرسالة أو الهيكل. لذا تختبر خدمة ناضجة مقاومة التعداد كجزء من أمان المنتج، وليس فقط أثناء الاستجابة للحوادث. بالنسبة لخدمات المصادقة، فإن خصوصية وجود الحساب هي ميزة، وليست رفاهية.
مشكلة الدليل هي أن العديد من هذه الضوابط غير مرئية للمستخدمين. لا يمكن للمستخدمين فحص مخزون نقاط النهاية أو منطق تحديد المعدل. هذا الاختفاء يزيد من واجب الإفصاح لدى المزود. لا يحتاج الإخطار العام إلى كشف عتبات كشف حساسة، لكن يمكنه وصف فئات الضوابط والتزامات الإصلاح. يمكنه القول ما إذا كانت نقطة النهاية قد أُزيلت أو وُثقت، وما إذا كانت مراقبة الإساءة قد وُسعت، وما إذا كان المستخدمون المتأثرون قد أُبلغوا، وما إذا كانت تحديثات التطبيق موصى بها، وما إذا تم استبعاد فئات بيانات إضافية.
خطر الأدلة الضعيفة هو التكرار. إذا توقف الملف العام عند "لقد أصلحنا نقطة النهاية"، فلن يكون للتقييم التالي أي أساس للحكم على ما إذا كان نظام الضبط قد تحسن. إذا حدد الملف فئات الضوابط التي تغيرت، يمكن للمشترين والمنظمين والمستخدمين المستقبليين تحميل المزود معيارًا أعلى دون الحاجة إلى كود المصدر الخاص. هذا هو الغرض من أدلة المساءلة.
محلية البيانات والخصوصية تشكل العواقب
يتضمن البيان سيادة البيانات ومحليتها لأن خدمات الهوية تعمل عبر الولايات القضائية والمشغلين والمستخدمين والتطبيقات والمزودين وأنظمة الدعم. كشف أرقام الهواتف ليس مجرد مشكلة تقنية لواجهة برمجة التطبيقات. إنه أيضًا مشكلة بيانات شخصية. قد يكون لدى المستخدمين في ولايات قضائية مختلفة توقعات إخطار مختلفة، وقد يطرح المنظمون أسئلة مختلفة، وقد يحتاج المشترون المؤسسيون إلى فهم أين تُعالج أو تُخزن بيانات الحساب. خدمة عالمية لا يمكنها معالجة المحلية كفكرة لاحقة بمجرد حدوث الكشف.
صفحة خصوصية Twilio علىhttps://www.twilio.com/en-us/legal/privacyذات صلة لأنها جزء من الوعد العام بشأن معالجة البيانات الشخصية. صفحة الأمان علىhttps://www.twilio.com/en-us/securityذات صلة لأنها تؤطر ضوابط الثقة. لكن الملف العام للحادثة يجب أن يربط هذه الالتزامات العامة بفئة البيانات المكشوفة. ما البيانات المرتبطة بحسابات Authy؟ هل كان الكشف مقتصرًا على أرقام الهواتف أم تضمن معرفات الحساب وبيانات الجهاز الوصفية ومؤشرات الحالة أو حقول أخرى؟ هل تم إخطار المستخدمين المتأثرين في جميع الولايات القضائية؟ هل تمت مراجعة قرارات الاحتفاظ بالبيانات وتقليلها؟ هل شارك معالجون أو أنظمة دعم؟
لا ينبغي تقليص مساءلة الخصوصية إلى ما إذا كانت البيانات المكشوفة "حساسة" بالمعنى القانوني الضيق. أرقام الهواتف المرتبطة بحضور تطبيق مصادقة حساسة بالمعنى العملي للأمان لأنها يمكن أن تدعم الاستهداف. لهذا السبب تستخدم المقالة لغة إساءة استخدام الهوية. يمكن أن تكون نفس البيانات عادية في سياق وعالية المخاطر في سياق آخر. رقم الهاتف في دليل مهني عام يختلف عن رقم الهاتف في قائمة مستخدمي مصادق.
تؤثر مسألة المحلية أيضًا على الاستجابة التنظيمية. قد تحتاج شركة متعددة الجنسيات يستخدم موظفوها Authy إلى تنسيق الإخطارات والتواصل مع لجان المؤسسة وتقييمات المنظمين وإرشادات فريق الدعم. قد يحتاج مستخدم مستهلك إلى إرشادات خاصة بالمشغل. قد يحتاج مطور إلى تحديد ما إذا كانت المعرفات المستندة إلى رقم الهاتف مناسبة لمنتجه الخاص. ملف عام جيد يدعم كل هذه القرارات بتوضيح فئة الكشف ومسارات الإساءة.
اختبار المساءلة الرئيسي هو ما إذا كانت لغة الخصوصية ولغة الأمان تلتقيان. تشرح الخصوصية ما البيانات المحفوظة وكيف يمكن استخدامها. يشرح الأمان كيف تُمنع الإساءة وتُحتوى. في كشف Authy، يجب أن يتقارب كلا الملفين على نفس الحقائق: ما البيانات التي كُشفت، لماذا كانت نقطة النهاية موجودة، كيف كان التعداد ممكنًا، ما الذي تغير، وما يحتاج المستخدمون إلى فعله.
استرداد الهوية هو مشكلة تشغيلية نهائية
يصبح كشف أرقام الهواتف مكلفًا لأن عمل الاسترداد يقع على عاتق العديد من المؤسسات التي لا تشارك خطة تحكم واحدة. يمكن لـ Twilio التحكم في نقطة نهاية Authy وإرشادات التطبيق. يتحكم المشغل في احتكاك تبديل بطاقة SIM ورموز PIN للحساب وعمليات النقل وسلوك خدمة العملاء. يتحكم البنك في تنبيهات تسجيل الدخول وقواعد استرداد الحساب. يتحكم صاحب العمل في التحقق من فريق الدعم. يتحكم المستهلك في الرسائل التي يثق بها والحسابات التي يراجعها. المستخدم المكشوف غالبًا ما يكون الشخص الوحيد الذي يحتاج إلى تنسيق كل هذه الأماكن. لهذا السبب لا يمكن لإخطار المزود أن يتوقف عند بيان ضيق لحقل البيانات.
يجب أن يخبر إخطار استرداد مفيد المستخدمين والمؤسسات بنوع العمل النهائي المتناسب. إذا كان فقط ارتباط أرقام الهواتف هو المكشوف، قد لا يحتاج المستخدمون إلى إعادة تعيين جميع حساباتهم. قد يحتاجون إلى معاملة الرسائل ذات طابع Authy كمشبوهة، وتجنب مشاركة الرموز، والتحقق من إعدادات أمان المشغل، ومراجعة طرق استرداد الحساب عالية القيمة، وإخبار فرق الدعم الداخلي بعدم الوثوق بالمتصلين الذين يشيرون إلى تطبيق المصادقة كدليل على الشرعية. هذا دليل مختلف عن اختراق رمز سري، ويجب أن يوضح الإخطار الفرق.
هذا التمييز مهم لفرق الأمان. إذا ظهر رقم هاتف موظف في قائمة مستخدمي مصادق، قد يحتاج صاحب العمل إلى مراقبة الهندسة الاجتماعية ضد دعم تكنولوجيا المعلومات، والرواتب، وخدمة العملاء، أو استرداد الحسابات المميزة. لا يحتاج المهاجم إلى تجاوز المصادق مباشرة إذا كان يمكنه إقناع موظف دعم بإعادة تعيين العامل، أو تسجيل جهاز جديد، أو الموافقة على طلب استرداد محفوف بالمخاطر. يصبح رقم الهاتف أداة ثقة في سيناريو اجتماعي. لهذا السبب يجب أن تصل إرشادات مكافحة الإساءة إلى فرق الدعم ومكافحة الاحتيال، وليس فقط مستخدمي التطبيق الفرديين.
تظهر نفس المشكلة للمطورين ومالكي المنتجات الذين يبنون تدفقات هوية قائمة على رقم الهاتف. إذا استخدموا رقم الهاتف كمعرف ثابت وقناة استرداد وإشارة مخاطر في نفس الوقت، فإن كشفًا في خدمة واحدة يمكن أن يخلق ضغطًا في أخرى. قد يواجه مستخدم مستهدف بعد كشف Authy عمليات احتيال على خدمات لا علاقة لها مباشرة بـ Authy. لذا يجب أن يدفع ملف المساءلة المشترين لفحص افتراضاتهم الخاصة: إذا كانت أرقام الهواتف مفرطة الاستخدام، إذا كانت استجابات وجود الحساب يمكن تعدادها، إذا كانت نصوص الدعم تعتمد بشكل مفرط على معرفة المتصل، وإذا كانت التغييرات عالية المخاطر تتطلب دليلاً أقوى.
هناك أيضًا مشكلة توقيت. إساءة استخدام الهوية لا تحدث دائمًا فور الكشف. يمكن نسخ القوائم وإعادة بيعها وإثرائها وإعادة استخدامها بعد أشهر. بيان عام بأنه لم يتم ملاحظة أي اختراق فوري للحساب قد يكون دقيقًا مع كونه غير مكتمل كدليل حماية. يحتاج المستخدمون إلى معرفة أن الاستهداف المؤجل محتمل عندما تُكشف بيانات الاتصال. تحتاج فرق الأمان إلى معرفة مدة إبقاء التحذيرات نشطة. يجب على المزودين القول ما إذا كانت المراقبة مستمرة بعد الإشعار الأول وما إذا كانوا سيحدثون المستخدمين إذا ظهرت أنماط إساءة جديدة.
هنا تختلف المساءلة عن العلاقات العامة للحوادث. قد تفضل غريزة العلاقات العامة تصغير الحدث بأسرع ما يمكن. ملف المساءلة يصغر ما يمكن تصغيره مع الحفاظ على المخاطر المتبقية. يمكنه القول إن أسرار المصادقة لم تظهر كمكشوفة، مع القول إن استهداف أرقام الهواتف يخلق خطرًا حقيقيًا للمتابعة. يمكنه القول إن نقطة النهاية أُغلقت، مع القول إن المستخدمين يجب أن يعاملوا الرسائل غير المرغوب فيها كمشبوهة. يمكنه القول إن الشركة لا تعلم ببعض الإساءات، مع شرح ما ستراقبه لاحقًا.
يجب أيضًا قياس عبء الاسترداد. كم مستخدمًا أُبلغوا؟ كم إخطارًا ارتد أو فشل؟ هل تلقى المستخدمون عاليو المخاطر أو العملاء المؤسسيون إرشادات إضافية؟ هل تم تثبيت تحديثات التطبيق بالفعل؟ هل شهدت فرق الدعم زيادة في الطلبات؟ هل تلقت قنوات الإبلاغ عن الإساءة تقارير عن تصيد بطابع Authy؟ هل تلقى المشغلون أو فرق الاحتيال مؤشرات يمكن أن تساعدهم في حماية المستخدمين المتأثرين؟ قد تظل بعض هذه الحقائق خاصة، لكن المزود الناضج يجب أن يعرف أي المؤشرات ستظهر ما إذا كانت الإرشادات قد وصلت إلى الأشخاص الذين كان من المفترض حمايتهم.
بالنسبة للمستخدمين، التوقع العادل ليس الكمال. إنه مسار واضح. لا يجب عليهم استنتاج ما يعنيه كشف رقم هاتف من تطبيق مصادقة من مدونات أمان متناثرة. يجب أن يتلقوا شرحًا محددًا لما كُشف وما لم يُكشف، وما الإساءة المتوقعة، وما الإجراءات المفيدة، وما الإجراءات غير المفيدة، وأين يجدون التحديثات. بالنسبة للمؤسسات، التوقع العادل هو ملف من المزود يمكن تحويله إلى إرشادات داخلية دون اختراع حقائق مفقودة. إذا كانت أدلة المزود لا تدعم ذلك، فستتفاعل المؤسسات النهائية بشكل أقل أو أكثر من اللازم، وكلتا النتيجتين تنقل التكلفة من مالك الخدمة إلى الأشخاص الذين يعتمدون عليها.
يجب أن يحتفظ نفس الملف بالأدلة مرئية للعميل بعد الدورة الإخبارية الأولى. إذا أبلغ مستخدم لاحقًا عن محاولة تبديل بطاقة SIM، أو رسالة تصيد، أو مكالمة دعم مشبوهة، يحتاج المزود ومؤسسة المستخدم إلى طريقة لربط هذا التقرير بنافذة الكشف دون المبالغة في السببية. يتطلب ذلك معرفات حوادث، وتواريخ إخطار، وفئات بيانات، وإرشادات إصدار التطبيق، وتوجيه تقارير الإساءة الذي يظل متاحًا بعد تصحيح نقطة النهاية. تذكرة فنية مغلقة لا تكفي. يمكن أن تظهر إساءة استخدام الهوية ببطء، ويجب أن يظل ملف المساءلة مفيدًا عند ظهور الضرر النهائي بعد أن أعلن المزود انتهاء المعالجة.
كيف ستبدو الأدلة الأفضل
ستبدأ الأدلة الأفضل بنطاق نقطة النهاية. ستسمي، على مستوى المنتج، الوظيفة التي سمحت باستعلام بيانات الحساب المرتبطة، وما إذا كانت المصادقة مطلوبة، وكيف تم كشف الإساءة، وكيف أُغلقت نقطة النهاية أو عُدلت، وما إذا تم فحص نقاط النهاية المجاورة. لن تحتاج إلى كشف تفاصيل الاستغلال التي تخلق مخاطر جديدة. يجب أن تعطي معلومات كافية للمستخدمين والمشترين لفهم فئة الفشل.
ستفصل الأدلة الأفضل بعد ذلك البيانات المكشوفة عن البيانات غير المكشوفة. إذا لم تكن رموز المصادقة أو أسرار النسخ الاحتياطي أو كلمات المرور أو الوصول إلى الحساب متورطة، يجب أن يقول الملف أي الأدلة تدعم هذا الحد. إذا كانت أرقام الهواتف أو بيانات ارتباط الحساب متورطة، يجب أن يقول الملف كم مستخدمًا تأثروا، وما الفترة التي تم فحصها، وما مستوى الثقة المطبق على العدد. الهدف ليس إحراج المزود. إنه لمنع المستخدمين وفرق الأمان من التخمين.
ستترجم الأدلة الأفضل أيضًا المخاطر إلى إجراء. يجب أن يعرف المستخدمون أي الرسائل يجب الحذر منها، وما إذا كان يجب تحديث التطبيق، وما إذا كان يجب مراجعة إعدادات الأجهزة المتعددة، وما إذا كان يجب تعزيز حسابات المشغل، وما إذا كان يجب الانتباه للتصيد بطابع Authy، وما إذا كانت إخطارات أخرى ستتبع. يجب أن تتلقى فرق الأمان إرشادات منفصلة لتدريب الموظفين وإساءة استخدام فريق الدعم. يجب أن يتلقى المطورون والمشترون دروس ضبط حول مخزون نقاط النهاية ومقاومة التعداد وتقليل البيانات.
أخيرًا، ستحدد الأدلة الأفضل الإصلاح. الإصلاح لا ينتهي عند إغلاق نقطة نهاية. الإصلاح يشمل مخزون نقاط النهاية الذي تم فحصه، وضوابط معدل الإساءة، وتحسينات التسجيل، والتنبيهات، وإخطار المستخدمين، وإرشادات تحديث التطبيق، وبيان متابعة إذا غيرت أدلة جديدة تقييم المخاطر. بالنسبة لخدمة مصادقة، يعني الإصلاح أيضًا إثبات أن المنتج لم يصبح دليل استهداف دائم.
هذا هو المعيار الذي يجب أن تتركه القضية وراءها. خدمات المصادقة تستحق الثقة فقط عندما يمكنها إظهار كيف تحمي البيانات الوصفية حول المصادقة، وليس فقط سر المصادقة نفسه.
ملف أدلة للقارئ
تستخدم المقالة المصادر العامة التالية كملف قراءة لكشف أرقام هواتف Authy من Twilio، وإساءة استخدام نقطة النهاية غير الموثقة، وإرشادات العملاء، والثقة في تطبيقات المصادقة، وملف المساءلة عن إساءة استخدام الهوية. تُعامل صفحات الشركة كأدلة على التزامات الضبط العام وسياق المنتج. تُستخدم المقالات الإخبارية للجدول الزمني وسياق الإفصاح العام. توفر المعايير والإرشادات الحكومية مفردات ضبط وسياق حماية المستخدم، وليست استنتاجات حول الأنظمة الخاصة لـ Twilio.
- مصدر عام مستخدم في ملف الأدلة:https://www.twilio.com/en-us/security
- مصدر عام مستخدم في ملف الأدلة:https://www.twilio.com/en-us/legal/privacy
- مصدر عام مستخدم في ملف الأدلة:https://status.twilio.com/
- مصدر عام مستخدم في ملف الأدلة:https://www.twilio.com/docs/authy
- مصدر عام مستخدم في ملف الأدلة:https://www.twilio.com/docs/verify
- مصدر عام مستخدم في ملف الأدلة:https://www.twilio.com/docs/verify/api
- مصدر عام مستخدم في ملف الأدلة:https://www.twilio.com/docs/glossary/what-is-two-factor-authentication-2fa
- مصدر عام مستخدم في ملف الأدلة:https://www.twilio.com/docs/verify/preventing-toll-fraud
- مصدر عام مستخدم في ملف الأدلة:https://www.bleepingcomputer.com/news/security/twilio-confirms-data-breach-after-hackers-leak-33m-authy-user-phone-numbers/
- مصدر عام مستخدم في ملف الأدلة:https://www.securityweek.com/twilio-says-hackers-identified-phone-numbers-of-authy-users/
- مصدر عام مستخدم في ملف الأدلة:https://cwe.mitre.org/data/definitions/306.html
- مصدر عام مستخدم في ملف الأدلة:https://cwe.mitre.org/data/definitions/307.html
- مصدر عام مستخدم في ملف الأدلة:https://owasp.org/API-Security/editions/2023/en/0xa4-unrestricted-resource-consumption/
- مصدر عام مستخدم في ملف الأدلة:https://www.cisa.gov/news-events/news/avoiding-social-engineering-and-phishing-attacks
- مصدر عام مستخدم في ملف الأدلة:https://www.cisa.gov/secure-our-world/turn-mfa
- مصدر عام مستخدم في ملف الأدلة:https://www.cisa.gov/secure-our-world/use-strong-passwords
- مصدر عام مستخدم في ملف الأدلة:https://www.cisa.gov/resources-tools/resources/phishing-guidance-stopping-attack-cycle-phase-one
- مصدر عام مستخدم في ملف الأدلة:https://www.cisa.gov/resources-tools/resources/incident-response-plan-irp-basics
- مصدر عام مستخدم في ملف الأدلة:https://pages.nist.gov/800-63-3/sp800-63b.html
- مصدر عام مستخدم في ملف الأدلة:https://www.nist.gov/cyberframework
- مصدر عام مستخدم في ملف الأدلة:https://www.cisecurity.org/controls
- مصدر عام مستخدم في ملف الأدلة:https://attack.mitre.org/techniques/T1589/002/
- مصدر عام مستخدم في ملف الأدلة:https://attack.mitre.org/techniques/T1566/
- مصدر عام مستخدم في ملف الأدلة:https://consumer.ftc.gov/articles/sim-swap-scams-how-protect-yourself
- مصدر عام مستخدم في ملف الأدلة:https://www.fcc.gov/consumers/guides/cell-phone-fraud
ملف الأدلة هذا أوسع عمدًا من إخطار واحد لأن مساءلة تطبيقات المصادقة تتقاطع مع تصميم نقاط النهاية، وتقليل بيانات الاتصال، وكشف الإساءة، وإرشادات المستخدم، وخطر التصيد، واسترداد الأرقام المحمولة، واستجابة فرق الأمان. يجب أن يدعم الملف العام المستخدمين الفرديين والمشترين المؤسسيين وفرق الاحتيال والمطورين وفرق الخصوصية والمنظمين.
أسئلة لمراجعة مجلس الإدارة
يجب أن تبدأ مراجعة مجلس الإدارة بملكية نقطة النهاية. من وافق على نقطة النهاية التي كشفت بيانات الحساب المرتبطة؟ من راجع متطلبات المصادقة وتصميم الاستجابة وضوابط المعدل؟ من راقب محاولات التعداد؟ من قرر متى يجب إغلاق نقطة النهاية أو تعديلها؟ من أكد أن نقاط النهاية المجاورة لا يمكن إساءة استخدامها بنفس الطريقة؟
يجب أن تنتقل المراجعة بعد ذلك إلى الإخطار. من قرر ما قيل للمستخدمين؟ هل شرح الإخطار الفرق بين كشف رقم الهاتف واختراق رمز المصادقة؟ هل قدم تدابير حماية واقعية؟ هل دعم فرق الأمان المؤسسي وكذلك المستخدمين الفرديين؟ هل شرح ما غيرته Twilio وما بقي غير مؤكد؟
يجب أن تتحقق المراجعة مما إذا كانت ضوابط مكافحة الإساءة قد تحسنت بعد الحدث. هل تم تحديث مخزون نقاط النهاية؟ هل تم توحيد استجابات وجود الحساب؟ هل تم فحص حدود المعدل والدفاعات ضد الروبوتات؟ هل كانت السجلات والتنبيهات كافية لكشف التعدادات المستقبلية؟ هل تم إعادة فحص قرارات تقليل الخصوصية لأرقام الهواتف وبيانات ارتباط الحساب؟ هل تم دمج مسارات الإساءة المتعلقة بالمشغلين والتصيد في الإرشادات؟
بالنسبة لهذه القضية المحددة، يجب أن تجيب المراجعة مباشرة على سؤال البيان: من كان لديه السيطرة العملية على كشف نقاط نهاية Authy، وتعداد أرقام الهواتف، وضوابط معدل الإساءة، وإخطار المستخدمين، وإرشادات مكافحة التصيد، وإعدادات حماية الحسابات الافتراضية، والدليل على أن تطبيق المصادقة لم يصبح دليلاً للاستهداف؟ يجب أن تتضمن الإجابة تواريخًا وفئات نقاط النهاية ومالكي الضوابط وأدلة إخطار المستخدمين وتغييرات في مراقبة الإساءة وعدم اليقين غير المحلول والدليل على أن الإصلاح وصل إلى حدود الثقة التي اعتمد عليها المستخدمون.

