ملخص
- جعل الاستيلاء على حسابات تويتر في يوليو 2020 مشكلة تحكم دعم خاص حدثًا للثقة العامة لأن الوصول الداخلي المخترق سمح للمهاجمين بالنشر من حسابات شديدة الظهور.
- يتضمن السجل العام تحديث تويتر للشركة، تحقيق إدارة الخدمات المالية في نيويورك، سجلات وزارة العدل، إفصاح المخاطر لهيئة الأوراق المالية والبورصات، سياق لجنة التجارة الفيدرالية، مذكرة تخفيف Coinbase، والتقارير الأمنية حول الهجوم.
- مسألة التحكم ليست فقط كيف حصل المهاجمون على الوصول. بل ما إذا كان تويتر يستطيع إثبات أن أدوات الموظفين المتميزة كانت مقيدة، مراقبة، معاد تصميمها، ومطابقة للعواقب العامة لسلطة مستوى الحساب.
- كانت المسؤولية موزعة ولكن غير متناظرة. تسبب المهاجمون والمهندسون الاجتماعيون في الإساءة الفورية. سيطر تويتر على الأدوات الداخلية، وصول الموظفين، المصادقة، التدريب، المراقبة، حماية الحسابات البارزة، الاستجابة للحوادث، والإشعار العام.
- الدرس الدائم هو أن أدوات دعم المنصات الاجتماعية يجب أن تحكم كبنية تحتية عامة. عندما تستطيع الضوابط الداخلية إعادة كتابة الخطاب العام، فهي ليست مجرد أدوات مكتب خلفي.
رأى الجمهور خطابًا؛ رأى المهاجمون مستوى تحكم
غالبًا ما يُذكر حادث تويتر 2020 من خلال الحمولة الأكثر ظهورًا: نشرت الحسابات البارزة رسائل احتيال عملات مشفرة. هذه الذاكرة دقيقة ولكنها غير كاملة. الدرس الأكثر ديمومة في المساءلة هو أن أدوات إدارة الحسابات الداخلية للمنصة الاجتماعية شكلت مستوى تحكم فوق الخطاب العام. رأى المستخدمون التغريدات. رأى المهاجمون مسارًا متميزًا يمكن أن يجعل الحسابات تبدو وكأنها تتحدث.
قالتحديث تويتر للشركة حول الحادث الأمنيإن المهاجمين استهدفوا الموظفين من خلال الهندسة الاجتماعية واستخدموا الأنظمة الداخلية للوصول إلى الحسابات. نشرت إدارة الخدمات المالية في نيويورك لاحقًاتقرير تحقيق مفصل عن تويتريصف كيف تطور الهجوم ولماذا كشف عن مخاطر أوسع لحوكمة المنصة. تشير هذه المصادر إلى نفس النقطة الأساسية: تعتمد سلامة الحساب ليس فقط على كلمات مرور المستخدم والمصادقة الثنائية، ولكن أيضًا على السلطة الداخلية للمنصة نفسها.
هذا التمييز مهم للثقة العامة. الحساب البارز ليس مجرد تسجيل دخول. إنه قناة اتصال عامة. يمكنه تحريك الأسواق، تشكيل دورات الأخبار، توجيه المؤيدين، طلب المدفوعات، إثارة الذعر، أو تضليل المستخدمين الذين يعتقدون بشكل معقول أن صاحب الحساب يتحدث. عندما تستطيع الأدوات الداخلية تجاوز حماية جانب المستخدم، تتحمل المنصة واجب تأمين تلك الأدوات وفقًا للعواقب العامة التي يمكن أن تخلقها.
التناقض سهل البيان. يعين الجمهور معنى لصاحب الحساب. تعين المنصة السلطة التشغيلية للموظفين والأدوات. إذا كانت طبقة الموظف-الأداة أضعف من طبقة الثقة العامة، يرى الجمهور أصالة حيث لا يستطيع نظام التحكم ضمانها. جعل اختراق تويتر هذا التناقض مرئيًا في بضع ساعات فوضوية.
لهذا لا يمكن اختزال الحادث إلى قصة وعي مستخدم. لم يقع جميع مالكي الحسابات المتأثرة في نفس رسالة التصيد. كان سير العمل الداخلي للمنصة هو السطح المتنازع عليه. يمكن للمنصة تشجيع المستخدمين على تبني مصادقة قوية، ولكن إذا كانت الأنظمة الداخلية تستطيع إعادة تعيين أو تغيير أو الوصول إلى ضوابط الحساب دون انضباط متساوٍ، يصبح أمان جانب المستخدم جزءًا فقط من الوعد.
الهندسة الاجتماعية للموظفين كانت اختبار تصميم المنصة
غالبًا ما تُناقش الهندسة الاجتماعية كضعف بشري. في سجل تويتر، يجب معاملتها كاختبار لتصميم النظام. كان الموظفون الهدف، لكن المنصة اختارت عدد الموظفين ذوي الوصول الحساس، الظروف التي يمكن استخدام الأدوات في ظلها، المصادقة المطلوبة، المراقبة حول استخدام الأدوات، سير العمل للطلبات غير العادية، ونصف قطر الانفجار إذا أسئ استخدام بيانات اعتماد موظف.
أكدالبيان الصحفي لـ NYDFS الذي يلخص التقريرعلى خطورة الهجوم والحاجة إلى تنظيم أقوى للأمن السيبراني لشركات وسائل التواصل الاجتماعي الكبيرة. تفاصيل التقرير مفيدة لأنه لا يتوقف عند "تم خداع الموظفين." يسأل لماذا استطاع المهاجمون تحويل وصول الموظفين إلى استيلاء على الحساب على نطاق عام.
هذا هو إطار المساءلة الصحيح. لا تستطيع الشركة إزالة كل مخاطر الهندسة الاجتماعية، لكنها تستطيع جعل الهندسة الاجتماعية أقل فائدة. يمكنها تقليل الوصول المتميز، طلب مصادقة أقوى، تقسيم أدوات الدعم، مراقبة الإجراءات غير العادية، فرض رقابة مزدوجة للتغييرات عالية المخاطر في الحساب، تحديد معدل العمليات الحساسة، طلب موافقات في الوقت المناسب، حماية الحسابات البارزة بقيود إضافية، وتدريب الموظفين على تصعيد المكالمات المشبوهة. يقلل كل خيار تصميم من فرصة أن يصبح خداع ناجح إساءة عامة.
توجيه الهوية الرقمية لـ NIST فيSP 800-63Bليس معيارًا خاصًا بتويتر، لكنه يساعد في توضيح لماذا قوة المصادقة وضوابط استرداد الحساب مهمة. منصة تحكم ملايين الهويات يجب أن تعامل مصادقة موظفيها كجزء من نظام الهوية العامة. يمكن للضمان الداخلي الضعيف تقويض الضمان الخارجي القوي.
تساعد توجيهات CISAالأمن بالتصميمأيضًا هنا. لا يجب أن يقع العبء فقط على الموظفين الأفراد لمقاومة كل مكالمة خادعة. يجب تصميم أنظمة المنتج والتشغيل بحيث لا تؤدي الإخفاقات البشرية الشائعة إلى نتائج عامة كارثية. أداة دعم يمكن أن تؤثر على رئيس دولة، شركة كبرى، بورصة، مشهور، أو حساب إعلامي يجب ألا تتصرف مثل لوحة خدمة عملاء عادية.
الاستجابة المسؤولة بعد حادث الهندسة الاجتماعية ليست إذن مذكرة تقول إن الموظفين يجب أن يكونوا أكثر حذرًا. إنها إعادة تصميم الوصول. أي الأدوات كانت قوية جدًا؟ أي المستخدمين لديهم وصول مستمر كبير جدًا؟ أي الإجراءات كانت تفتقر إلى مراجعة ثانية؟ أي السجلات لم تتم مراقبتها؟ أي الحسابات البارزة كانت بحاجة إلى حماية إضافية؟ أي سير العمل كان موجودًا للاستثناءات الطارئة؟ أي مجموعات الموظفين يمكن أن تتصرف في حسابات لم يدعموها؟
تلك الأسئلة تنقل النقاش من اللوم إلى التحكم. لا تعفي الخداع. تسأل هل جعلت المنصة الخداع قويًا جدًا.
حماية الحسابات البارزة لا يمكن أن تكون دعمًا عاديًا
جعلت مجموعة الحسابات المتأثرة حادث تويتر حساسًا بشكل خاص. حملت الشخصيات العامة البارزة والشركات والحسابات المتعلقة بالعملات المشفرة اهتمامًا هائلًا. رسالة كاذبة من مثل هذا الحساب ليست مثل البريد العشوائي من ملف مهجور. يمكن أن تصل إلى المستخدمين فورًا، تُدمج من قبل وسائل الإعلام، تُطلق تداولًا آليًا أو كشف احتيال، وتنتقل عبر لقطات الشاشة حتى بعد الحذف.
يعلنإعلان وزارة العدل المؤرشف عن توجيه اتهامات لثلاثة أفراد لأدوار مزعومة في اختراق تويترعن استجابة إنفاذ القانون. يُظهر إصدار لاحق من SDNY يصفحكمًا بالسجن خمس سنوات على جوزيف جيمس أوكونورأن القضية ظلت جزءًا من سجل أوسع للجرائم الإلكترونية. مساءلة جنائية مهمة، لكنها لا تغلق قضية حوكمة المنصة. لا يزال يتعين على المنصة إظهار كيف ستتم حماية الحسابات عالية المخاطر من إساءة استخدام الأدوات الداخلية.
يجب أن تشمل حماية الحسابات البارزة أكثر من الشارات أو البروز العام. يجب أن تعني قواعد إدارية مختلفة. قد يتطلب الحساب الحساس موافقة مزدوجة لتغييرات البريد الإلكتروني، تغييرات الهاتف، إعادة تعيين كلمة المرور، إبطال الجلسات، أو قيود النشر. قد يطلق تنبيهات أقوى عندما تلمسه أداة داخلية. قد يكون له مسار استرداد معزز لا يمكن إكماله بإجراء دعم واحد. قد تتم مراقبته بحثًا عن لغة احتيال مفاجئة أو أنماط عناوين دفع.
هناك مقايضة. تحتاج فرق الدعم لمساعدة مالكي الحسابات بسرعة، خاصة الصحفيين والمسؤولين والمؤسسات تحت الهجوم. يمكن للضوابط الصارمة جدًا أن تحبس المستخدمين الشرعيين أو تؤخر الإصلاحات العاجلة. لكن حادث 2020 يظهر لماذا لا يمكن أن تكون راحة الدعم العادية هي معيار التصميم الوحيد. منشور كاذب من حساب بارز هو حدث عام.
ينطبق نفس المنطق على لقطات الشاشة الداخلية ورؤية الأدوات. ناقش التقارير في ذلك الوقت، بما في ذلك تغطية TechCrunch لـاختراق الحسابات البارزة في احتيال عملات مشفرة، لقطات شاشة للأدوات الداخلية المتداولة أثناء الحدث. ما إذا كانت أي لقطة شاشة معينة قد التقطت كل قوة الأداة ذات الصلة أقل أهمية من المبدأ: يمكن أن تصبح طرق العرض الإدارية نفسها قطعًا أثرية حساسة. يجب على المنصة الحد ليس فقط من يمكنه استخدام الأدوات القوية، ولكن من يمكنه رؤية بيانات الحساب الحساسة وكيف يمكن تصدير طرق عرض الأدوات أو تصويرها أو إساءة استخدامها.
تحتاج الحماية البارزة أيضًا إلى وضع استجابة عامة. عندما تدرك المنصة أن الحسابات البارزة يتم إساءة استخدامها، قد تحتاج إلى تقييد النشر، قفل الحسابات، قمع المحتوى الخطير، أو تعطيل وظائف معينة مؤقتًا. قيد تويتر بعض نشاط الحساب أثناء الحادث. السؤال المسؤول هو ما إذا كانت تلك الضوابط الطارئة محددة مسبقًا ومختبرة ومتناسبة، أم مرتجلة تحت الضغط.
حدث تخفيف الاحتيال خارج تويتر أيضًا
كانت الحمولة الفورية احتيال عملات مشفرة، وحدث بعض التخفيف خارج المنصة. قالت Coinbase لاحقًا إنهامنعت أكثر من ألف عميل من إرسال بيتكوينإلى عنوان الاحتيال. هذا السجل مهم لأنه يظهر كيف تخلق حوادث المنصة واجبات للأنظمة المجاورة. أصبح فشل التحكم الداخلي لتويتر مشكلة مكافحة احتيال للبورصة ومشكلة حماية مستخدم.
يعامل الجمهور أحيانًا حوادث احتيال العملات المشفرة كما لو كان يجب على الضحيا ببساطة أن يعرفوا أفضل. هذا مبسط جدًا. عمل الاحتيال عن طريق استعارة شرعية الحسابات التي يعرفها المستخدمون بالفعل. عندما ينشر مهاجم عبر حساب موثوق، تكون إشارة الاحتيال مقلوبة جزئيًا. يصبح الحساب نفسه الطعم. قد لا يزال المستخدمون يتصرفون بحماقة، لكن المنصة ساهمت في الخداع بالسماح ببيان كاذب بالظهور تحت هوية موثوقة.
التقطت تغطية CNBC لـاختراق تويتر واحتيال البيتكوينكيف أصبح الحدث بسرعة مصدر قلق عام رئيسي. تتبع تحليل KrebsOnSecurity لـمن يقف وراء اختراق تويتر الملحمي يوم الأربعاءأدلة مجتمع الأمان وسياق تداول الحسابات عبر الإنترنت. لا ينبغي أن تحل هذه التقارير محل السجلات الرسمية، لكنها تظهر كيف تتقارب الاهتمام العام السريع، التحقيق في الجرائم الإلكترونية، واستجابة المنصة.
يجب أن يكون تخفيف الاحتيال جزءًا من دليل الحادث. إذا تم استخدام الاستيلاء على حساب المنصة لطلب مدفوعات، يجب أن يكون لدى المنصة مسارات سريعة لإخطار البورصات وشركات الدفع وموفري تحليلات المحافظ وإنفاذ القانون وفرق الإساءة. يجب أن تحتفظ بدليل على المحتوى المنشور وعناوين URL وعناوين الدفع والحسابات المتأثرة والتوقيت. يجب أن تنشر إرشادات مستخدم واضحة تحدد الاحتيال دون تضخيمه دون داع.
يجب على المنصة أيضًا النظر في كشف مبني مسبقًا لقوالب احتيال شائعة مفاجئة عبر الحسابات البارزة. إذا بدأت العديد من الحسابات البارزة في نشر رسائل مماثلة لعنوان الدفع، قد يكون نمط المحتوى نفسه إشارة على إساءة استخدام الأدوات الداخلية أو استرداد الحساب. الاعتدال الآلي للمحتوى وحده لا يكفي، لكنه يمكن أن يقصر فترة التعرض.
لا ينبغي أن يتظاهر سجل المساءلة بأن تويتر سيطر على Coinbase أو البورصات الأخرى. يجب أن يعترف بأن حوادث المنصة العامة تخلق سلسلة دفاع أوسع. يجب على الشركة التي تمتلك الأداة الداخلية التنسيق بسرعة مع الشركات التي يمكنها إيقاف حركة الأموال. هذا التنسيق جزء من تقليل الضرر العام.
كان على الإشعار العام أن يوازن بين السرعة والأدلة
أثناء الاستيلاء على منصة عامة، الإشعار ليس شكليًا. يحتاج المستخدمون إلى معرفة ما إذا كانت الحسابات أصلية، وما إذا كان يجب الوثوق بالرسائل، وما إذا كان قد تم الوصول إلى الرسائل المباشرة، وما إذا كان على مالكي الحسابات التصرف، وما إذا كان المهاجمون لا يزالون يسيطرون. في نفس الوقت، قد لا تزال المنصة تحقق. مشكلة الإشعار هي أن تكون سريعًا دون التظاهر باليقين.
وصف تحديث حادث تويتر الخطوات المتخذة، بما في ذلك تقييد الوظائف للعديد من الحسابات والعمل على استعادة الوصول. كما ميز الحسابات المتأثرة عن نشاط المنصة الأوسع ووصف الأنظمة الداخلية كجزء من التحقيق. هذا النوع من الاتصال العام ضروري لأن الحادث نفسه يحدث علنًا. يمكن للصمت أن يسمح لمنشورات الاحتيال ولقطات الشاشة بالاستمرار في التداول كما لو كانت مجرد سلوك حساب غير عادي.
دليل NISTالتعامل مع حوادث أمن الكمبيوترمفيد لأنه يؤطر الاتصال كجزء من الاستجابة للحوادث، وليس كإضافة للعلاقات العامة. في حادث خطاب المنصة، الاتصال هو أيضًا تحكم أمان. يمكن للإشعار الواضح تقليل تحويلات الاحتيال، تحذير المستخدمين من عدم الوثوق برسائل الاحتيال، طمأنة مالكي الحسابات بشأن الخطوات التالية، ومنع المعلومات المضللة حول الحادث من أن تصبح حادثًا ثانيًا.
يجب أن يفصل الإشعار الجيد بين الحقائق المعروفة، الإجراءات الحالية، توجيه المستخدم، والأسئلة غير المحلولة. معروف: تم اختراق بعض الحسابات من خلال الأنظمة الداخلية. الإجراء الحالي: تم تقييد وظائف معينة. توجيه المستخدم: لا ترسل عملات مشفرة أو تعتمد على المنشورات المشبوهة. غير محلول: مجموعة الحسابات الكاملة، تعرض الرسائل المباشرة، مسار الوصول الداخلي، والمعالجة طويلة الأجل. يساعد هذا الهيكل المستخدمين على فهم ما يجب فعله حتى مع تطور التفاصيل.
السؤال الأصعب هو ما إذا كان يجب على المنصة الاحتفاظ بسجل حادث مرئي. يمكن حذف التحديثات العامة أو تحريرها أو توزيعها عبر سلاسل. صفحة أو تقرير حادث دائم يعطي المستخدمين ومالكي الحسابات والباحثين والجهات التنظيمية سجلاً ثابتًا. لمنصة تتوسط الاتصال العام، يجب أن يكون سجل اتصالها قابلاً للتدقيق.
يجب أن يأخذ الإشعار العام أيضًا في الاعتبار مالكي الحسابات الذين تم إساءة استخدام أسمائهم. يحتاجون إلى تأكيد ودعم وتوجيه حول استعادة الثقة مع المتابعين. قد يحتاج مالك الحساب البارز إلى القول إن رسالة كانت كاذبة، التنسيق مع إنفاذ القانون، تحذير المتابعين، وتقييم الضرر السمعة. يجب أن يدعم إشعار المنصة تلك العملية، وليس فقط حماية علامة المنصة التجارية.
كشفت السجلات التنظيمية عن طابع البنية التحتية العامة
تقرير NYDFS قيم لأنه عالج تويتر كأكثر من مجرد تطبيق خاص. اعترف بأن منصات وسائل التواصل الاجتماعي الكبيرة يمكن أن تؤثر على الأسواق المالية، الاتصال السياسي، السلامة العامة، والثقة المدنية. هذا لا يعني أنه يجب تنظيم كل منصة مثل البنك. يعني أن الضوابط الداخلية تستحق التدقيق عندما يمكن للفشل أن يشوه الاتصال العام على نطاق واسع.
تضمننموذج 10-K لعام 2021 لتويترلغة عامل خطر تشير إلى اختراق يوليو 2020 وإمكانية وقوع حوادث أمنية تؤثر على الحسابات والتصور العام. تعمل ملفات SEC كخدمة للمستثمرين، لكن في هذه الحالة، نفس الحقائق تهم المستخدمين. يجب على الشركة التي تحقق الدخل من الاهتمام والاتصال العام أن تحكم الأنظمة التي تقرر ما إذا كان الاهتمام أصيلاً.
بيان FTC الصحفي لعام 2022 يتهم تويترباستخدام بيانات أمان الحساب بشكل خادع للإعلانات المستهدفةيتعلق بقضية مختلفة، وأمر FTC المعدللا ينبغي معاملته كتقرير فني عن اختراق يوليو 2020. لا يزال ينتمي إلى سجل الحوكمة لأنه يظهر كيف تقيم الجهات التنظيمية التمثيلات وبرامج الأمان ووعود الخصوصية والضوابط الداخلية حول أمان الحساب. ثقة المنصة لا تتعلق بحادث واحد فقط.
يظهر طابع البنية التحتية العامة في عبء الاستجابة. إذا تم اختراق حساب بنك، قد يتم خداع العملاء. إذا تم اختراق حساب مسؤول عام، قد يتم تضليل الناخبين. إذا تم اختراق حساب إعلامي، قد يتم تشويه الأخبار. إذا تم اختراق حساب تنفيذي شركة، قد تتفاعل الأسواق. إذا تم اختراق حساب بورصة عملات مشفرة، قد يتسارع الاحتيال. أدوات تويتر الداخلية تقع تحت كل تلك العواقب.
لذلك تطرح الجهات التنظيمية أسئلة لا يستطيع المستخدمون العاديون الإجابة عليها. كم عدد الموظفين الذين لديهم وصول؟ ما هي المصادقة المطلوبة؟ هل تم تسجيل الإجراءات المتميزة ومراجعتها؟ هل كانت الحسابات البارزة خاضعة لضوابط إضافية؟ هل تم تدريب الموظفين؟ هل تم تصميم الأدوات الداخلية لتقليل إساءة الاستخدام؟ هل تم اختبار قيود الاستجابة للحوادث؟ هل تم إخبار المستخدمين بالحقيقة على الفور؟
لا ينبغي رفض تلك الأسئلة كرؤية لاحقة. إنها بالضبط الأسئلة التي يجب أن تطرحها المنصة قبل وقوع حادث. حوكمة المنصة العامة تعني تصميم العمليات الداخلية حول الضرر العام الذي يمكن أن تخلقه.
تحتاج أدوات الدعم إلى أقل امتياز واحتكاك
أدوات الدعم موجودة لحل مشاكل المستخدمين. تعيد تعيين الحسابات المقفلة، تساعد في استعادة الوصول، تدير تقارير الإساءة، تراجع حالة الحساب، وتحافظ على قابلية استخدام المنصة. هذا الغرض المشروع يجعلها قوية. يظهر حادث تويتر لماذا تحتاج أدوات الدعم إلى أقل امتياز واحتكاك متعمد. أداة يمكن أن تساعد المستخدم الصحيح يمكن أن تساعد أيضًا المهاجم الخاطئ إذا كان الوصول وسير العمل ضعيفين.
مفهومخط الأساس للتكوين الآمنلـ CISA ينطبق هنا حتى لو كان توجيهًا عامًا. يجب أن يكون للأدوات الداخلية ضوابط أساسية: وصول محدود، MFA، فحوصات وضع الجهاز، تسجيل، مراجعة، موافقة تغيير، وفصل الواجبات. للحسابات الحساسة بشكل خاص، يجب أن يكون خط الأساس أكثر صرامة. الهدف الأمني ليس جعل الدعم مستحيلاً؛ بل جعل إجراءات الدعم الخطيرة مرئية وأصعب في الإساءة.
يجب تطبيق أقل امتياز على عدة طبقات. يجب أن تمنح أدوار الموظفين فقط إجراءات الحساب المطلوبة لوظيفة ما. يجب فصل وظائف الأداة بحيث لا يتم تجميع عرض بيانات الحساب وتغيير بيانات الاعتماد وتغيير معلومات الاتصال وتعطيل الحماية والنشر أو استعادة الوصول بشكل عرضي. يجب أن تتطلب الحسابات الحساسة موافقة إضافية. يجب أن تنتهي صلاحية الوصول المؤقت. يجب أن تؤدي الأنماط الشاذة إلى مراجعة.
الاحتكاك ليس دائمًا سيئًا. في تصميم المنتجات الاستهلاكية، غالبًا ما يعامل الاحتكاك كعدو. في العمليات المتميزة، بعض الاحتكاك هو تحكم. مراجع ثانية، فترة تبريد، مصادقة أقوى، رمز سبب إلزامي، أو تنبيه عالي المخاطر يمكن أن يمنع هجوم الهندسة الاجتماعية المتسرع من أن يصبح حدثًا عامًا. المفتاح هو تطبيق الاحتكاك حيث يبرر الضرر ذلك.
تحتاج أدوات الدعم أيضًا إلى قابلية مراقبة قوية. إذا لمس إجراء داخلي حسابًا بارزًا، يجب أن تعرف المنصة من قام به، من أي جهاز، تحت أي جلسة، لأي تذكرة، وبأي موافقة، وما تغير. يجب حماية السجلات من العبث والاحتفاظ بها لفترة كافية للتحقيق. في حالة حدوث إجراءات مشبوهة، يجب أن تكون المنصة قادرة على إعادة بناء الجدول الزمني بسرعة.
بعد الحادث، سؤال المساءلة العام هو ما إذا كانت تلك الضوابط قد تغيرت. يمكن للشركة القول إنها حدت من الوصول أو حسنت الأدوات، لكن المستخدمين والجهات التنظيمية يحتاجون إلى ثقة بأن إعادة التصميم عالجت نمط الفشل الفعلي. هل تقلص الوصول؟ هل تعززت المصادقة؟ هل تحسنت المراقبة؟ هل تلقت الحسابات البارزة حماية إضافية؟ هل تغير تدريب الهندسة الاجتماعية؟ هل أصبحت أدوات التقييد الطارئ أكثر وضوحًا؟
كان التعرض الخاص سؤال أدلة منفصل
كانت المنشورات العامة الضرر الأكثر ظهورًا، لكن الاستيلاء على الحساب يثير أيضًا سؤال أدلة أكثر هدوءًا: ما هي المواد الخاصة للحساب التي كان يمكن الوصول إليها؟ رأى المستخدمون العامون تغريدات احتيال. كان على مالكي الحسابات والجهات التنظيمية أن يسألوا عن الرسائل المباشرة وعناوين البريد الإلكتروني وأرقام الهواتف وإعدادات الحساب وحالة الجلسة وبيانات الاسترداد والبيانات الوصفية الداخلية. الإجابة مهمة لأن نفس الوصول الداخلي الذي يمكن أن ينشر علنًا قد يكشف أيضًا معلومات خاصة أو يمكن هجمات مستقبلية.
ميزت التحديثات العامة لتويتر بين الحسابات المستخدمة للنشر وأسئلة وصول الحساب الأوسع، لكن لا يزال المراقبون الخارجيون بحاجة إلى فهم حدود الأدلة. هل عرض المهاجمون رسائل مباشرة لأي حسابات متأثرة؟ هل قاموا بتنزيل معلومات الحساب؟ هل غيروا عناوين البريد الإلكتروني أو أرقام الهواتف؟ هل أنشأوا استمرارية؟ هل استخدموا الأدوات الداخلية فقط لإعادة التعيين أو النشر، أم أيضًا لفحص بيانات الحساب الخاصة؟ هذه الأسئلة ليست مثيرة للقلق؛ إنها تتبع مباشرة سلطة النظام الداخلي.
للمستخدمين البارزين، يمكن أن يكون التعرض الخاص أكثر ضررًا من الاحتيال العام. قد تحتوي رسائل الصحفي المباشرة على معلومات مصدر. قد يتضمن حساب المسؤول العام تنسيقًا حساسًا. قد يحمل حساب الشركة إعلانات محظورة أو شكاوى عملاء أو جهات اتصال للأزمات. قد يواجه أحد المشاهير أو النشطاء مخاطر سلامة شخصية. لذلك يجب على المنصة أن تفصل بين "تمت إزالة المنشور الكاذب" و"تم مراجعة التعرض الخاص." هاتان حالتان مختلفتان.
الأدلة المطلوبة لتقييم التعرض الخاص مختلفة أيضًا. يحتاج المحققون إلى سجلات الأدوات الداخلية وسجلات وصول الحساب ومعلومات الجلسة والتغييرات في بيانات الاسترداد ونشاط API وطلبات البيانات المصدرة وأي وصول غير عادي للرسائل. يحتاجون إلى الحفاظ على السجلات قبل أن يمحو التنظيف الطارئ الأثر. يحتاجون إلى إخبار مالكي الحسابات بما يكفي للتصرف دون الكشف عن تفاصيل تساعد المهاجمين.
يجب أن يكون الإشعار العام متعدد الطبقات. يحتاج المستخدمون العاديون إلى توجيه واسع. يحتاج مالكو الحسابات المتأثرة إلى نتائج مباشرة ومحددة. قد يحتاج مالكو الحسابات الحساسة بشكل خاص إلى دعم منفصل وتنسيق مع إنفاذ القانون أو نصائح حول حماية جهات الاتصال. لا ينبغي للمنصة أن تفرط في الكشف عن حقائق الحساب الخاصة للجمهور، لكن لا ينبغي لها إخفاء عدم اليقين عن الأشخاص الذين يتحملون المخاطرة.
هذا هو أيضًا المكان الذي تصبح فيه مراجعة الوصول الداخلي أكثر من مجرد أمر يتعلق بالموارد البشرية. إذا كانت أداة الموظف يمكنها الكشف عن بيانات الحساب، وليس فقط سلطة النشر في الحساب، فإن كل إجراء متميز له عواقب خصوصية. يجب تبرير الوصول وتسجيله ومراجعته. يجب أن يحد تصميم الأداة مما يمكن لموظفي الدعم رؤيته ما لم تكن المهمة تتطلبه. يجب إخفاء الحقول الحساسة حيثما أمكن. يجب أن تؤدي طرق عرض الحسابات عالية المخاطر إلى إشارات تدقيق حتى لو لم يتم نشر أي منشور عام.
ينطبق نفس منطق التعرض الخاص بعد الحادث. لا يكفي أن نسأل عما إذا كان المهاجمون قد نشروا. المنشور هو القطعة الأثرية المرئية. السؤال الأعمق هو ما إذا كان السطح الخاص للحساب قد تم لمسه. يجب أن تكون المنصة الناضجة قادرة على الإجابة على هذا السؤال بسرعة، حسابًا بحساب، بثقة كافية لتوجيه المالك.
التقييد الطارئ هو أداة تحكم عامة
واحد من أصعب الخيارات أثناء الحادث كان تقييد وظائف المنصة. عندما حدد تويتر النشاط لبعض الحسابات، كان يستخدم تحكمًا طارئًا لتقليل الضرر أثناء التحقيق. هذه الضوابط حادة. يمكنها منع منشورات احتيال إضافية، لكنها يمكنها أيضًا إسكات مالكي الحسابات الشرعيين أثناء حدث عام سريع الحركة. هذه المقايضة هي لماذا يجب معاملة التقييد الطارئ كأداة تحكم عامة، وليس كزر ذعر مرتجل.
سؤال التصميم هو ما الذي يطلق التقييد. قد يتطلب حساب مشهور واحد مخترق قفل حساب واحد. قد يتطلب نمط عبر العديد من الحسابات البارزة حدودًا مؤقتة على فئة من الحسابات أو الإجراءات الداخلية. قد يتطلب الدليل على إساءة استخدام الأدوات الداخلية تعطيل بعض سير عمل الموظفين. تحتاج المنصة إلى معايير قبل الطوارئ لأن فريق الحادث سيصنع قرارات حوكمة تحت ضغط شديد.
السؤال الثاني هو النطاق. أي الحسابات مقيدة؟ أي الإجراءات محظورة؟ هل يمكن لمالكي الحسابات قراءة الرسائل ولكن ليس النشر؟ هل يمكنهم حذف منشورات الاحتيال؟ هل يمكنهم التواصل عبر قنوات بديلة؟ هل يتم معاملة الحسابات الحكومية أو الطوارئ أو الصحية أو السلامة العامة بشكل مختلف؟ هل لدى المنصة طريقة لمنع المهاجمين من استغلال الحسابات غير المقيدة ذات الظهور المنخفض بينما الحسابات البارزة مجمدة؟ تقييد ضيق جدًا قد يفشل؛ تقييد واسع جدًا قد يخلق اضطرابًا عامًا غير ضروري.
السؤال الثالث هو قابلية الشرح. يجب أن يعرف المستخدمون متى تفرض المنصة قيودًا طارئة ولماذا. يجب أن يعرف مالكو الحسابات كيفية استعادة السيطرة الموثوقة. يجب أن يعرف الجمهور ما إذا كان يجب تجاهل المنشورات المشبوهة. يجب أن تعرف الجهات التنظيمية ما إذا كان التقييد قد حمى المستخدمين أو مجرد حد من الضرر السمعة. لا يتطلب ذلك كشف كل تفاصيل فنية. يتطلب سجلاً مبدئيًا.
التقييد الطارئ له أيضًا نظير داخلي. إذا كان المهاجمون يستخدمون أدوات الموظفين، قد تحتاج الشركة إلى تقييد وصول الأدوات، إبطال الجلسات، طلب إعادة المصادقة، تعطيل سير العمل، أو فرض موافقة إضافية. تلك الإجراءات يمكن أن تبطئ الدعم عبر المنصة. يمكنها أيضًا منع ضرر إضافي. يجب أن تكون المنصة قادرة على التمييز بين تباطؤ خدمة العملاء وإجراء احتواء ضروري.
لهذا يجب أن يتضمن سجل المجلس أفعال تحكم طارئة. تم الكشف، مقيد، مقفل، ملغي، معاد المصادقة، مستعاد، مفتش، مُخطر، غير محلول. كل فعل يقول شيئًا محددًا. مجلس يسمع فقط "استجبنا بسرعة" لا يمكنه تقييم ما إذا كان نظام التحكم عمل. مجلس يرى الأفعال يمكنه أن يسأل أين فقد الوقت وأي القدرات لم تكن موجودة.
يجب أن تختبر مراجعة ما بعد الحادث التقييد الطارئ من خلال التمارين. محاكاة إساءة استخدام الأدوات الداخلية ضد الحسابات البارزة. محاكاة منشورات احتيال منسقة عبر فئات الحسابات. محاكاة اختراق بيانات اعتماد الموظف أثناء حدث إخباري. اسأل من يمكنه تفويض القيود، من يبلغ عنها، كيف يتم دعم مالكي الحسابات، كيف يتم إخطار شركاء الاحتيال، كيف يتم الحفاظ على السجلات، وكيف يتم رفع القيود. يجب أن يكشف التمرين عن مخرجات المنتج والقانون والسياسة والهندسة والثقة والأمان والدعم والاتصالات والتنفيذية.
أظهر حادث 2020 أن المنصة يمكنها فرض حدود طارئة، لكن السؤال الدائم هو ما إذا كانت تلك الحدود أصبحت قدرة ممارسة. منصة تتوسط الخطاب العام تحتاج أدوات احتواء مصممة بعناية مثل أدوات النشر. وإلا، فإن فشل التحكم الداخلي التالي سيجبر الشركة مرة أخرى على الاختيار بين السرعة والدقة والإنصاف وتقليل الضرر في العلن.
احتاج مالك الحساب إلى سجل استرداد
كل مالك حساب تم لمسه يحتاج إلى أكثر من استعادة القدرة على النشر. يحتاج إلى سجل استرداد. يجب أن يقول هذا السجل ما حدث للحساب، ما الوصول الداخلي أو الخارجي الذي لوحظ، ما المحتوى الذي تم نشره أو محاولته، ما البيانات الخاصة التي تم أو لم يتم الوصول إليها، ما الإعدادات التي تغيرت، ما بيانات الاعتماد أو الجلسات التي أعيد تعيينها، ما الحماية التي أضيفت، وما الشكوك التي بقيت.
سجل الاسترداد مهم لأن مالكي الحسابات لديهم دوائرهم الخاصة. قد تحتاج شركة إلى طمأنة العملاء والمستثمرين. قد يحتاج مسؤول عام إلى تصحيح معلومات خاطئة. قد يحتاج صحفي إلى حماية المصادر. قد يحتاج شخصية عامة إلى تحذير المتابعين من الاحتيال. قد تحتاج بورصة أو خدمة مالية إلى التنسيق مع فرق مكافحة الاحتيال. الإغلاق الداخلي للمنصة لا يعطي تلقائيًا تلك الأطراف الأدلة التي يحتاجونها.
يجب أن يتضمن السجل أيضًا التوقيت. متى تم لمس الحساب لأول مرة؟ متى تم نشر محتوى الاحتيال؟ متى تمت إزالته؟ متى تم قفل الحساب؟ متى تمت استعادة السيطرة؟ متى تلقى المالك إشعارًا؟ متى تم حل أسئلة التعرض الخاص؟ التوقيت غالبًا هو الفرق بين ملاحظة حادث نظيفة ورواية عامة متنازع عليها.
يجب أيضًا أن يكون استرداد مالك الحساب متمايزًا حسب المخاطر. حساب صغير مستخدم في الهجوم يستحق الدعم، لكن قائد وطني، شركة كبرى، غرفة أخبار، وكالة رعاية صحية، أو مؤسسة مالية قد يكون لها واجبات نهائية مختلفة. يجب أن يكون للمنصة مسار استجابة للحسابات الحساسة يوفر تنسيقًا أكثر مباشرة وأدلة أفضل دون السماح للمستخدمين الأقوياء بتجاوز قواعد الأمان بشكل عرضي.
سجل الاسترداد يحمي المنصة أيضًا. إذا استطاعت الشركة إظهار أنها أعطت معلومات محددة ودقيقة وفي الوقت المناسب لمالكي الحسابات المتأثرين، فهي أقل عرضة للاتهامات بأنها قللت من شأن الحادث. إذا لم تستطع إظهار ذلك، قد يملأ مالكو الحسابات الفجوة بالتكهنات أو لقطات الشاشة أو البيانات العامة المتضاربة. الأدلة تقلل الشائعة.
أخيرًا، يجب أن يغذي سجل الاسترداد تصميم المنتج. إذا طرح العديد من مالكي الحسابات نفس الأسئلة، يجب أن تصبح تلك الأسئلة جزءًا من قالب الحادث التالي. إذا لم يستطع المالكون فهم أي الضوابط تحميهم، يجب أن يكشف المنتج عن حالة أمان أقوى. إذا احتاج مالكو الحسابات الحساسة إلى ميزات لا تحتاجها الحسابات العادية، يجب على المنصة جعل السياسة صريحة. الاسترداد ليس نهاية الحادث؛ إنه بداية إعادة التصميم.
تدقيق مفيد سيتابع إجراءً متميزًا واحدًا
أبسط عينة تدقيق بعد حادث تويتر ستتبع إجراء حساب متميز واحد من الطلب إلى التنفيذ. اختر حسابًا حساسًا. اسأل من يمكنه عرضه، من يمكنه تغيير تفاصيل الاسترداد، من يمكنه إعادة تعيين الوصول، من يمكنه تجاوز القيود، أي موافقة كانت مطلوبة، أي ظروف الجهاز والشبكة تم فحصها، أي أحداث سجل تم إنشاؤها، من راجع تلك الأحداث، وأي تنبيه سينطلق إذا بدا الإجراء غير طبيعي. ثم أعد تشغيل نفس الإجراء تحت ضغط الهندسة الاجتماعية.
هذه العينة تتجنب الضمان الغامض. لا تسأل عما إذا كانت الشركة تهتم بالأمان. تسأل عما إذا كان إجراء داخلي معين يمكن تنفيذه بأمان. إذا كان الإجراء يمكن اتخاذه من قبل موظف مخدوع دون مصادقة قوية وموافقة وتسجيل وتنبيه، فإن المنصة لديها فجوة تحكم ملموسة. إذا كان الإجراء يتطلب وصولًا مبررًا ومراجعة ثانية وسجلات مقاومة للعبث ومراقبة ما بعد الإجراء، فإن المنصة لديها دليل.
يجب أن تأخذ العينة أيضًا الرفض. هل يمكن للموظف أن يقول لا لطلب مشبوه دون عقوبة؟ هل يمكن للدعم تصعيد مكالمة غريبة بسرعة؟ هل يمكن منع الوصول الطارئ حتى يتم التحقق من الهوية؟ هل يمكن للشركة إثبات أن إجراءً متميزًا لم يحدث؟ أدلة الرفض مهمة لأن العديد من هجمات الهندسة الاجتماعية تنجح بخلق إلحاح وجعل الرفض يشعر وكأنه خدمة عملاء سيئة.
ذلك النوع من التدقيق ضيق، لكنه بالضبط حيث تعيش الثقة العامة. الحساب العام هو القطعة الأثرية المرئية. الإجراء الداخلي المتميز هو المفصل الخفي.
يجب أن تُمارس الثقة العامة مثل وقت التشغيل
الدرس النهائي من تويتر هو أن إخفاقات الأصالة العامة يجب أن تُمارس مثل الانقطاعات. يجب على المنصة أن تتدرب على ما يحدث عندما تنتج الأدوات الداخلية خطابًا عامًا كاذبًا: من يجمد الحسابات، من يحذر المستخدمين، من يتصل بالبورصات أو شركاء الدفع، من يدعم مالكي الحسابات، ومن يشرح عدم اليقين بشأن التعرض الخاص. تمارين وقت التشغيل تحمي التوفر. تمارين الأصالة تحمي ما إذا كان يمكن للمستخدمين تصديق الحساب المرئي على الإطلاق.
اختبار المساءلة هو التحكم العام الأصيل
السؤال المسؤول بعد اختراق تويتر 2020 ليس فقط ما إذا كان المهاجمون قد ألقوا القبض عليهم أو ما إذا تمت إزالة منشورات الاحتيال. بل ما إذا كانت المنصة تستطيع إثبات أن أصالة الحساب العام استقرت على ضوابط قوية مثل الثقة التي يضعها المستخدمون في الحسابات المرئية. كان على النظام الداخلي أن يطابق المعنى العام للحسابات التي يمكنه تغييرها.
لا يظهر السجل العام كل إعادة تصميم داخلي، أو كل تغيير في الوصول، أو كل اختبار بعد الحادث. يظهر أن الهجوم استغل سطحًا داخليًا عالي الرافعة وأن الجهات التنظيمية والمدعين العامين والبورصات والصحفيين والمستخدمين جميعًا عالجوا الحدث كأكثر من مجرد إساءة استخدام حساب عادية. هذا هو الإطار الصحيح. أصبحت أدوات المنصة نفسها موضوع المخاطرة.
للمنصات الاجتماعية، الدرس دائم. يجب تصميم أنظمة الإدارة والدعم كأنظمة سلامة عامة عندما يمكن أن تؤثر على الخطاب العام. يجب تقليل وصول الموظفين. يجب أن يكون للحسابات عالية المخاطر ضوابط خاصة. يجب تصميم مرونة الهندسة الاجتماعية في سير العمل، وليس تركها فقط للتدريب. يجب أن يكون تنسيق الاحتيال سريعًا. يجب أن يكون الإشعار العام منظمًا ودائمًا. يجب أن تميز تقارير ما بعد الحادث بين ما هو معروف وما تغير وما لا يزال غير مؤكد.
للمستخدمين، الدرس غير مريح. الحساب الموثق أو البارز ليس دليلاً على أن الشخص أو المنظمة المسماة كتبت الرسالة. تعتمد أصالة الحساب على سلسلة تشمل أمان المستخدم، ضوابط المنصة الداخلية، وصول الموظفين، سير عمل الاسترداد، والاستجابة للحوادث. معظم تلك السلسلة غير مرئي للمستخدمين العاديين. هذا الاختفاء هو لماذا مساءلة المنصة مهمة.
للجهات التنظيمية والمجالس، الدرس هو أن تسأل عن مستوى التحكم وراء الثقة العامة. من يمكنه لمس الحسابات البارزة؟ ما الموافقة المطلوبة؟ ما السجلات الموجودة؟ ما القيود الطارئة التي يمكن تطبيقها؟ ما دفاعات الهندسة الاجتماعية التي تحمي الموظفين؟ ما سيناريوهات الضرر العام التي تم ممارستها؟ يجب أن تكون الإجابات أدلة، وليس ثقة في العلامة التجارية.
يجب تذكر حادث تويتر 2020 للاحتيال، ولكن لا يقتصر عليه. كان الاحتيال الإشارة المرئية. كانت القضية الأساسية أن السلطة الداخلية للمنصة يمكن تحويلها إلى خطاب عام كاذب. عندما يحدث ذلك، المنصة ليست مجرد ضحية للمهاجمين. إنها مشغل نظام التحكم الذي جعل فشله الخداع مقنعًا. يعتمد الاتصال العام الأصيل على حوكمة هذا النظام واختباره وتقييده قبل أن يحاول المهاجم التالي استعارة صوت موثوق.
حد أدلة إضافي
بالنسبة لجعل تويتر إساءة استخدام أدوات الموظفين تضاربًا في سيطرة الثقة العامة، الحد الإضافي للأدلة هو إبقاء الحقائق المؤكدة والاستدلال المدعوم بأدلة والمعلومات غير المعروفة منفصلة. هذا الفصل مهم لأن حدثًا يتضمن الاستيلاء على حساب تويتر 2020 تضارب التحكم يمكن وصفه كمشكلة تقنية أو مشكلة تعاقدية أو مشكلة اتصالات اعتمادًا على أي فاعل يتحدث. لذلك يجب أن يعود تحليل المساءلة إلى التحكم العملي: من يمكنه تغيير التكوين، تحديد التعرض، تسريع الكشف، تفويض الإخطار، أو إثبات أن الإصلاح قد وصل إلى المستخدمين المتأثرين.
تضيف هذه العدسة اختبارًا دقيقًا للسبب الجذري والحدث المحفز. يشرح الحدث المحفز لماذا أصبح الحدث مرئيًا في لحظة معينة؛ يتطلب السبب الجذري أدلة حول خيارات التصميم والتحكم والحوكمة والتحقق التي كانت موجودة قبل تلك اللحظة. يجب تقييم الظروف المساهمة مثل الاعتماد والتفويض ونوافذ التغيير والعقود والسجلات والحوافز دون معاملة بيان الشركة كحقيقة كاملة أو تحويل احتمال إلى استنتاج محسوم.
ينطبق نفس الانضباط على فشل الكشف وفشل الاستجابة وفشل الاسترداد. يجب أن يظهر السجل العام متى رأيت الإشارة، ومن لديه سلطة التصرف، وما قيل للعملاء أو الجهات التنظيمية، وأي أدلة إضافية من شأنها تقوية أو إضعاف الاستنتاج. بينما تظل تلك العناصر جزئية، الاستنتاج المسؤول ليس اتهامًا إضافيًا؛ إنه خريطة أكثر دقة للمسؤولية وعدم اليقين وضوابط الهوية والوصول التي يجب أن يتحقق منها تدقيق لاحق.

