ملخص
- حوّل اختراق حسابات تويتر في يوليو 2020 مشكلة السيطرة على الدعم الداخلي إلى حدث يمس الثقة العامة، إذ سمح الوصول الداخلي المخترق للمهاجمين بالنشر من حسابات عالية الوضوح.
- يتضمن السجل العام تحديث شركة تويتر، وتحقيق إدارة الخدمات المالية لولاية نيويورك، وسجلات الادعاء بوزارة العدل، وإفصاح هيئة الأوراق المالية والبورصات عن المخاطر، وسياق حوكمة لجنة التجارة الفيدرالية، وملاحظة احتواء كوينبيس، والتقارير الأمنية عن الهجوم.
- السؤال الأساسي ليس فقط كيف حصل المهاجمون على الدخول، بل ما إذا كان بإمكان تويتر إثبات أن أدوات الموظفين المميزة كانت مقيدة ومراقبة ومُعاد تصميمها ومتوافقة مع العواقب العامة لسلطة مستوى الحساب.
- كانت المسؤولية موزعة لكنها غير متكافئة. تسبب المهاجمون والمخادعون اجتماعيًا في الإساءة الفورية. سيطر تويتر على الأدوات الداخلية ودخول الموظفين والتوثيق والتدريب والمراقبة وحماية الحسابات البارزة والاستجابة للحوادث والإشعار العام.
- الدرس الدائم هو أن أدوات دعم المنصات الاجتماعية يجب أن تُدار كبُنى تحتية عامة. فعندما تستطيع الضوابط الداخلية إعادة كتابة الخطاب العام، فهي ليست مجرد أدوات خلفية.
الجمهور رأى خطابًا؛ المهاجمون رأوا سطح تحكم
غالبًا ما يُذكر حادث تويتر 2020 عبر الحمولة الأكثر وضوحًا: نشر حسابات بارزة رسائل احتيال بالعملات الرقمية. هذه الذكرى دقيقة لكنها غير مكتملة. الدرس الأكثر استدامة في المساءلة هو أن أدوات إدارة الحسابات الداخلية لمنصة اجتماعية شكلت سطح تحكم فوق الخطاب العام. رأى المستخدمون تغريدات. رأى المهاجمون مسارًا مميزًا يمكن أن يجعل الحسابات تبدو وكأنها تتحدث.
تحديث شركة تويتر حول الحادث الأمنيقال إن المهاجمين استهدفوا الموظفين عبر الهندسة الاجتماعية واستخدموا أنظمة داخلية للوصول إلى الحسابات. لاحقًا، نشرت إدارة الخدمات المالية لولاية نيويوركتقرير تحقيق مفصل عن تويتريصف كيف تطور الهجوم ولماذا كشف عن خطر أوسع على حوكمة المنصة. وتوضح هذه المصادر النقطة الأساسية نفسها: سلامة الحساب لا تعتمد فقط على كلمات مرور المستخدمين والمصادقة الثنائية، بل تعتمد أيضًا على السلطة الداخلية للمنصة نفسها.
هذا التمييز مهم للثقة العامة. فالحساب البارز ليس مجرد تسجيل دخول، بل هو قناة اتصال عامة. يمكنه تحريك الأسواق، وتشكيل دورات الأخبار، وتوجيه المؤيدين، وطلب المدفوعات، وإثارة الذعر، أو تضليل المستخدمين الذين يعتقدون بشكل معقول أن مالك الحساب يتحدث. عندما تستطيع الأدوات الداخلية تجاوز حماية جانب المستخدم، تتحمل المنصة واجب تأمين تلك الأدوات وفقًا للعواقب العامة التي قد تنتج عنها.
من السهل صياغة فجوة التحكم. يخصص الجمهور المعنى لحامل الحساب، وتخصص المنصة السلطة التشغيلية للموظفين والأدوات. إذا كانت طبقة الأدوات-الموظفين أضعف من طبقة الثقة العامة، يرى الجمهور أصالة حيث لا يمكن لنظام التحكم ضمانها. جعل اختراق تويتر هذا التفاوت واضحًا في بضع ساعات فوضوية.
لهذا السبب لا يمكن اختزال الحادثة إلى قصة وعي مستخدم. لم يقع جميع مالكي الحسابات المتأثرة في رسالة تصيد واحدة. كان سير العمل الداخلي للمنصة هو السطح المتنازع عليه. يمكن للمنصة أن تشجع المستخدمين على اعتماد مصادقة قوية، ولكن إذا تمكنت الأنظمة الداخلية من إعادة تعيين أو تغيير أو الوصول إلى ضوابط الحساب دون انضباط مماثل، يصبح أمن جانب المستخدم جزءًا فقط من الوعد.
الهندسة الاجتماعية للموظفين كانت اختبارًا لتصميم النظام
غالبًا ما تُناقش الهندسة الاجتماعية كضعف بشري. في سجل تويتر، يجب معاملتها كاختبار لتصميم النظام. استُهدف الموظفون، لكن المنصة اختارت عدد الموظفين ذوي الدخول الحساس، والشروط التي يمكن فيها استخدام الأدوات، والمصادقة المطلوبة، والمراقبة حول استخدام الأداة، وسير العمل للطلبات غير العادية، ونطاق الضرر إذا أُسيء استخدام بيانات اعتماد موظف.
البيان الصحفي لإدارة الخدمات المالية لولاية نيويوركالذي لخص التقرير شدد على خطورة الهجوم والحاجة إلى تنظيم أقوى للأمن السيبراني لشركات وسائل التواصل الاجتماعي الكبيرة. تفاصيل التقرير مفيدة لأنها لا تتوقف عند "المستخدمون خُدعوا"، بل تسأل لماذا تمكن المهاجمون من تحويل وصول موظف إلى استيلاء على حساب على نطاق عام.
هذا هو الإطار الصحيح للمساءلة. لا يمكن لشركة أن تزيل جميع مخاطر الهندسة الاجتماعية، لكنها يمكن أن تجعل الهندسة الاجتماعية أقل فائدة. يمكنها تقليل الدخول المميز، وفرض مصادقة أقوى، وتقسيم أدوات الدعم، ومراقبة الإجراءات غير العادية، وفرض رقابة مزدوجة لتغييرات الحسابات عالية المخاطر، وتحديد معدل العمليات الحساسة، وفرض موافقات في الوقت المناسب، وحماية الحسابات البارزة بقيود إضافية، وتدريب الموظفين على تصعيد المكالمات المشبوهة. كل خيار تصميم يقلل فرصة أن يصبح خداع واحد ناجح إساءة عامة.
دليل الهوية الرقمية للمعهد الوطني للمعايير والتقنية فيSP 800-63Bليس معيارًا خاصًا بتويتر، لكنه يساعد في توضيح سبب أهمية قوة المصادق وضوابط استعادة الحساب. المنصة التي تدير ملايين الهويات يجب أن تعامل مصادقة موظفيها كجزء من نظام الهوية العامة. التأكيد الداخلي الضعيف يمكن أن يقوض التأكيد الخارجي القوي.
توجيهات وكالة الأمن السيبراني وأمن البنى التحتيةالتصميم الآمنمفيدة هنا أيضًا. لا ينبغي أن يقع العبء فقط على الموظفين الأفراد لمقاومة كل مكالمة خادعة. يجب تصميم أنظمة المنتج والتشغيل بحيث لا تؤدي الإخفاقات البشرية الشائعة إلى نتائج عامة كارثية. لا ينبغي لأداة دعم يمكنها التأثير على حساب رئيس دولة أو شركة كبرى أو بورصة أو مشهور أو وسيلة إعلام أن تتصرف كلوحة دعم عادية.
الاستجابة المسؤولة بعد حادث هندسة اجتماعية ليست مذكرة تقول إن الموظفين يجب أن يكونوا أكثر حذرًا، بل هي إعادة تصميم للوصول. ما الأدوات التي كانت قوية جدًا؟ من هم المستخدمون الذين لديهم وصول دائم كبير جدًا؟ ما الإجراءات التي كانت تفتقر إلى مراجعة ثانية؟ ما السجلات التي لم تُراقب؟ ما الحسابات البارزة التي كانت بحاجة إلى حماية إضافية؟ ما سير العمل الذي كان موجودًا للاستثناءات الطارئة؟ أي مجموعات الموظفين كان يمكنها التصرف على حسابات لا تدعمها؟
تنقل هذه الأسئلة النقاش من اللوم إلى التحكم. لا تبرر الخداع، بل تسأل ما إذا كانت المنصة جعلت الخداع قويًا جدًا.
حماية الحسابات البارزة لا يمكن أن تكون دعمًا عاديًا
جعلت مجموعة الحسابات المتأثرة حادث تويتر حساسًا بشكل خاص. جلبت الشخصيات العامة البارزة والشركات والحسابات المرتبطة بالعملات الرقمية اهتمامًا هائلاً. الرسالة الكاذبة من حساب كهذا ليست كالرسائل المزعجة من ملف تعريف مهجور. يمكنها الوصول إلى المستخدمين فورًا، وتُضمن من قبل وسائل الإعلام، وتطلق تداولًا آليًا أو اكتشاف احتيال، وتنتقل عبر لقطات الشاشة حتى بعد الحذف.
إعلان وزارة العدل المؤرشف بأنهتم اتهام ثلاثة أفراد بأدوار مزعومة في اختراق تويتريوثق استجابة سلطات إنفاذ القانون. وإصدار لاحق من مكتب المدعي العام للمنطقة الجنوبية من نيويورك يصفحكمًا بالسجن خمس سنوات على جوزيف جيمس أوكونوريُظهر أن القضية بقيت جزءًا من سجل جرائم الإنترنت الأوسع. المساءلة الجنائية مهمة، لكنها لا تغلق مسألة حوكمة المنصة. لا تزال المنصة بحاجة إلى إظهار كيف ستُحمى الحسابات عالية المخاطر من إساءة استخدام الأدوات الداخلية.
ينبغي أن تتضمن حماية الحسابات البارزة أكثر من الشارات أو الشهرة العامة. يجب أن تعني قواعد إدارية مختلفة. قد يتطلب الحساب الحساس موافقة مزدوجة لتغييرات البريد الإلكتروني أو الهاتف أو إعادة تعيين كلمة المرور أو إبطال الجلسات أو قيود النشر. قد يُطلق تنبيهات أقوى عندما تلمسه أداة داخلية. قد يكون له مسار استرداد محصّن لا يمكن إكماله بإجراء دعم واحد. قد يُراقب للكشف عن لغة احتيال مفاجئة أو أنماط عناوين دفع.
هناك مقايضة. فرق الدعم تحتاج إلى مساعدة مالكي الحسابات بسرعة، خاصة الصحفيين والمسؤولين والمنظمات التي تتعرض للهجوم. الضوابط الجامدة جدًا قد تحبس المستخدمين الشرعيين أو تؤخر الإصلاحات العاجلة. لكن حادثة 2020 تُظهر لماذا لا يمكن أن تكون راحة الدعم العادي المعيار التصميمي الوحيد. منشور كاذب من حساب رفيع المستوى هو حدث عام.
ينطبق المنطق نفسه على لقطات الشاشة الداخلية ورؤية الأدوات. التغطية الإخبارية في ذلك الوقت، بما في ذلك تغطية تك كرانشلاختراق حسابات بارزة في احتيال عملات رقمية، ناقشت لقطات شاشة لأدوات داخلية متداولة أثناء الحدث. سواء التقطت أي لقطة شاشة معينة كل قوة الأداة ذات الصلة أم لا، فإن المبدأ هو أن المشاهدات الإدارية نفسها يمكن أن تصبح قطعًا أثرية حساسة. يجب على المنصة أن تقيد ليس فقط من يمكنه استخدام الأدوات القوية، بل من يمكنه رؤية بيانات الحساب الحساسة وكيف يمكن تصدير أو تصوير أو إساءة استخدام عروض الأدوات.
تحتاج حماية البارزين أيضًا إلى وضع استجابة عامة. عندما تدرك المنصة أن حسابات بارزة تُستغل، قد تحتاج إلى تقييد النشر، أو قفل الحسابات، أو كبت المحتوى الخطير، أو تعطيل وظائف معينة مؤقتًا. قام تويتر بالفعل بتقييد بعض نشاط الحسابات أثناء الحادثة. السؤال الخاضع للمساءلة هو ما إذا كانت ضوابط الطوارئ هذه محددة مسبقًا، ومختبرة، ومتناسبة، أم أنها ارتُجلت تحت الضغط.
تمت مكافحة الاحتيال خارج تويتر أيضًا
كانت الحمولة المباشرة احتيالًا بالعملات الرقمية، وحدثت بعض المكافحة خارج المنصة. قالت كوينبيس لاحقًا إنهامنعت أكثر من ألف عميل من إرسال البيتكوينإلى عنوان الاحتيال. هذا السجل مهم لأنه يُظهر كيف تخلق حوادث المنصة واجبات للأنظمة المجاورة. أصبح فشل التحكم الداخلي لتويتر مشكلة مكافحة احتيال للبورصة ومشكلة حماية للمستخدم.
يعامل الجمهور أحيانًا حوادث احتيال العملات الرقمية كما لو كان ينبغي للضحايا أن يعرفوا أفضل. هذا أمر بسيط للغاية. نجح الاحتيال باستعارة شرعية الحسابات التي كان المستخدمون يعرفونها مسبقًا. عندما ينشر مهاجم عبر حساب موثوق، تنعكس إشارة الاحتيال جزئيًا. يصبح الحساب نفسه الطُعم. قد لا يزال المستخدمون يتصرفون بغير حكمة، لكن المنصة أسهمت في الخداع بالسماح لبيان كاذب بالظهور تحت هوية موثوقة.
غطت CNBCاختراق تويتر واحتيال البيتكوينوالتقطت كيف أصبح الحدث سريعًا مصدر قلق عام رئيسي. وتحليل كريبس للأمنلمن يقف وراء الاختراقتتبع أدلة مجتمع الأمن وسياق تداول الحسابات عبر الإنترنت. لا ينبغي أن تحل هذه التقارير محل السجلات الرسمية، لكنها تُظهر كيف تقاربت بسرعة اهتمامات الجمهور وتحقيقات الجرائم الإلكترونية واستجابة المنصة.
ينبغي أن تكون مكافحة الاحتيال جزءًا من دليل التعامل مع الحادثة. إذا استُخدم استيلاء على حساب منصة لطلب مدفوعات، يجب أن يكون للمنصة مسارات سريعة لإخطار البورصات، وشركات الدفع، ومزودي تحليل المحافظ، وسلطات إنفاذ القانون، وفرق مكافحة الإساءة. يجب أن تحافظ على أدلة المحتوى المنشور، والروابط، وعناوين الدفع، والحسابات المتأثرة، والتوقيت. يجب أن تنشر إرشادات واضحة للمستخدم تحدد الاحتيال دون تضخيمه بلا داعٍ.
يجب أن تنظر المنصة أيضًا في الكشف المُعد مسبقًا عن قوالب الاحتيال الشائعة المفاجئة عبر الحسابات البارزة. إذا بدأت حسابات بارزة عديدة بنشر رسائل متشابهة لعناوين دفع، فقد يكون نمط المحتوى نفسه إشارة إلى أن الأدوات الداخلية أو استرداد الحساب قد أُسيء استخدامها. الاعتدال الآلي للمحتوى وحده ليس كافيًا، لكنه يمكن أن يقصر فترات التعرض.
لا ينبغي أن يتظاهر سجل المساءلة بأن تويتر سيطر على كوينبيس أو البورصات الأخرى، بل يجب أن يعترف بأن حوادث المنصة العامة تخلق سلسلة دفاع أوسع. يجب أن تتنسق الشركة التي تمتلك الأداة الداخلية بسرعة مع الشركات التي يمكنها إيقاف حركة الأموال. هذا التنسيق جزء من تقليل الضرر العام.
كان على الإشعار العام أن يوازن بين السرعة والأدلة
أثناء استيلاء على منصة عامة، الإشعار ليس إجراءً شكليًا. يحتاج المستخدمون إلى معرفة ما إذا كانت الحسابات أصلية، وما إذا كانت الرسائل موثوقة، وما إذا كانت الرسائل المباشرة قد تم الوصول إليها، وما إذا كان على مالكي الحسابات التصرف، وما إذا كان المهاجمون لا يزالون مسيطرين. في الوقت نفسه، قد تكون المنصة لا تزال تحقق. مشكلة الإشعار هي أن يكون سريعًا دون التظاهر باليقين.
وصف تحديث حادث تويتر الخطوات المتخذة، بما في ذلك تقييد الوظائف للعديد من الحسابات والعمل على استعادة الدخول. كما ميز الحسابات المتأثرة عن نشاط المنصة الأوسع ووصف الأنظمة الداخلية كجزء من التحقيق. هذا النوع من التواصل العام ضروري لأن الحادث نفسه يحدث في العلن. الصمت يمكن أن يسمح لمنشورات الاحتيال ولقطات الشاشة بمواصلة الانتشار كما لو كانت مجرد سلوك حساب غير عادي.
دليل المعهد الوطني للمعايير والتقنيةللتعامل مع حوادث أمن الحاسوبمفيد لأنه يضع التواصل كجزء من الاستجابة للحادث، وليس كإضافة علاقات عامة. في حادث خطاب منصة، التواصل هو أيضًا وسيلة تحكم بالسلامة. يمكن لإشعار واضح أن يقلل تحويلات الاحتيال، ويحذر المستخدمين من الثقة برسائل الاحتيال، ويطمئن مالكي الحسابات بشأن الخطوات التالية، ويمنع المعلومات المضللة عن الحادث من أن تصبح حادثة ثانية.
ينبغي أن يفصل الإشعار الجيد الحقائق المعروفة، والإجراءات الحالية، وإرشادات المستخدم، والأسئلة غير المحلولة. المعروف: تم اختراق بعض الحسابات عبر أنظمة داخلية. الإجراء الحالي: تم تقييد وظائف معينة. إرشاد المستخدم: لا ترسلوا عملات رقمية أو تعتمدوا على منشورات مشبوهة. غير المحلول: مجموعة الحسابات الكاملة، التعرض للرسائل المباشرة، مسار الدخول الداخلي، والإصلاح طويل الأجل. يساعد هذا الهيكل المستخدمين على فهم ما يجب فعله حتى أثناء تطور التفاصيل.
السؤال الأصعب هو ما إذا كان ينبغي للمنصة الحفاظ على سجل حادث مرئي. يمكن حذف أو تعديل أو بعثرة التحديثات العامة عبر الخيوط. توفر صفحة حادث دائمة أو تقرير للمستخدمين ومالكي الحسابات والباحثين والمنظمين سجلاً مستقرًا. بالنسبة لمنصة تتوسط التواصل العام، ينبغي أن يكون سجل تواصلها الخاص قابلاً للتدقيق.
على الإشعار العام أيضًا أن يأخذ في الاعتبار مالكي الحسابات الذين أُسيء استخدام أسمائهم. يحتاجون إلى تأكيد ودعم وإرشاد حول استعادة الثقة مع المتابعين. قد يحتاج مالك حساب رفيع إلى قول أن رسالة ما كانت كاذبة، والتنسيق مع سلطات إنفاذ القانون، وتحذير المتابعين، وتقييم الضرر السمعة. ينبغي أن يدعم إشعار المنصة هذه العملية، لا أن يحمي فقط علامة المنصة التجارية.
السجلات التنظيمية كشفت طابع البنية التحتية العامة
تقرير إدارة الخدمات المالية لولاية نيويورك قيّم لأنه عامل تويتر كأكثر من مجرد تطبيق خاص. أقر بأن منصات التواصل الاجتماعي الكبيرة يمكنها التأثير على الأسواق المالية، والتواصل السياسي، والسلامة العامة، والثقة المدنية. هذا لا يعني أن كل منصة يجب أن تُنظم كمصرف، بل يعني أن الضوابط الداخلية تستحق التدقيق عندما يمكن للفشل أن يشوه التواصل العام على نطاق واسع.
نموذج تويتر10-K لعام 2021تضمن لغة عوامل خطر تشير إلى اختراق يوليو 2020 وإمكانية أن تؤثر الحوادث الأمنية على الحسابات والإدراك العام. تخدم إيداعات هيئة الأوراق المالية والبورصات المستثمرين، لكن في هذه الحالة نفس الحقائق مهمة للمستخدمين. الشركة التي تستثمر الانتباه والتواصل العام يجب أن تحكم الأنظمة التي تقرر ما إذا كان الانتباه أصليًا.
بيان لجنة التجارة الفيدرالية لعام 2022 الذي اتهم تويترباستخدام بيانات أمن الحساب بشكل مخادع لبيع إعلانات مستهدفةكان يتعلق بمسألة مختلفة، والأمر المعدل للجنة التجارة الفيدراليةلا ينبغي معاملته كتقرير تقني عن اختراق يوليو 2020. لكنه لا يزال ينتمي إلى سجل الحوكمة لأنه يظهر كيف تقيّم المنظمون الإقرارات وبرامج الأمن ووعود الخصوصية والضوابط الداخلية حول أمن الحساب. ثقة المنصة ليست فقط حول حادثة واحدة.
يظهر طابع البنية التحتية العامة في عبء الاستجابة. إذا اختُرق حساب مصرف، فقد يُخدع العملاء. إذا اختُرق حساب مسؤول عام، فقد يُضلل المكونون. إذا اختُرق حساب وسيلة إعلام، فقد تُشوه الأخبار. إذا اختُرق حساب تنفيذي في شركة، فقد تتفاعل الأسواق. إذا اختُرق حساب تبادل عملات رقمية، فقد يتسارع الاحتيال. أدوات المنصة الداخلية تقع تحت كل هذه العواقب.
يسأل المنظمون أسئلة لا يستطيع المستخدمون العاديون الإجابة عليها: كم عدد الموظفين الذين كان لديهم دخول؟ ما المصادقة المطلوبة؟ هل سُجلت ورُوجعت الإجراءات المميزة؟ هل خضعت الحسابات البارزة لضوابط إضافية؟ هل دُرب الموظفون؟ هل صُممت الأدوات الداخلية لتقليل سوء الاستخدام؟ هل اختُبرت قيود الاستجابة للحادث؟ هل قيلت الحقيقة للمستخدمين بسرعة؟
لا ينبغي رفض هذه الأسئلة باعتبارها إدراكًا متأخرًا. إنها بالضبط الأسئلة التي يجب أن تطرحها المنصة قبل الحادث. حوكمة المنصة العامة تعني تصميم العمليات الداخلية حول الضرر العام الذي يمكن أن تخلقه.
أدوات الدعم تحتاج إلى الحد الأدنى من الامتياز والاحتكاك
توجد أدوات الدعم لحل مشاكل المستخدم. تعيد تعيين الحسابات المقفلة، وتساعد في استعادة الدخول، وتدير بلاغات الإساءة، وتراجع حالة الحساب، وتبقي المنصة قابلة للاستخدام. هذا الغرض المشروع يجعلها قوية. يُظهر حادث تويتر لماذا تحتاج أدوات الدعم إلى الحد الأدنى من الامتياز واحتكاك متعمد. الأداة التي يمكنها مساعدة المستخدم الصحيح يمكنها أيضًا مساعدة المهاجم الخطأ إذا كان الدخول وسير العمل ضعيفين.
مفهوم وكالة الأمن السيبراني وأمن البنى التحتيةلخط الأساس للتكوين الآمنمناسب هنا رغم أنه توجيه عام. يجب أن يكون للأدوات الداخلية ضوابط أساسية: دخول محدود، مصادقة متعددة العوامل، فحص وضع الجهاز، تسجيل، مراجعة، موافقة على التغيير، وفصل الواجبات. بالنسبة للحسابات الحساسة خصوصًا، يجب أن يكون خط الأساس أشد. الهدف الأمني ليس جعل الدعم مستحيلاً، بل جعل إجراءات الدعم الخطيرة مرئية وأصعب في الإساءة.
يجب تطبيق الحد الأدنى من الامتياز على عدة طبقات. يجب أن تمنح أدوار الموظفين فقط إجراءات الحساب المطلوبة للمهمة. يجب فصل وظائف الأداة بحيث لا تُجمع مشاهدة بيانات الحساب، وتغيير بيانات الدخول، وتغيير معلومات الاتصال، وتعطيل الحماية، والنشر أو استعادة الدخول بشكل عارض. يجب أن تتطلب الحسابات الحساسة موافقة إضافية. يجب أن ينتهي الدخول المؤقت. يجب أن تؤدي الأنماط الشاذة إلى مراجعة.
الاحتكاك ليس سيئًا دائمًا. في تصميم المنتجات الاستهلاكية، غالبًا ما يُعامل الاحتكاك كعدو. في العمليات المميزة، بعض الاحتكاك هو ضابط. مراجع ثان، فترة تهدئة، مصادق أقوى، رمز سبب إلزامي، أو تنبيه عالي المخاطر يمكن أن يمنع هجوم هندسة اجتماعية متسرع من أن يصبح حدثًا عامًا. المفتاح هو تطبيق الاحتكاك حيث يبرره الضرر.
تحتاج أدوات الدعم أيضًا إلى قابلية مراقبة قوية. إذا لمس إجراء داخلي حسابًا رفيع المستوى، يجب أن تعرف المنصة من قام به، من أي جهاز، وتحت أي جلسة، ولأي تذكرة، وبأي موافقة، وما الذي تغير. يجب حماية السجلات من العبث والاحتفاظ بها لمدة كافية للتحقيق. في حال حدوث إجراءات مشبوهة، يجب أن تكون المنصة قادرة على إعادة بناء الجدول الزمني بسرعة.
بعد الحادث، سؤال المساءلة العامة هو ما إذا تغيرت هذه الضوابط. يمكن لشركة أن تقول إنها قيدت الدخول أو حسنت الأدوات، لكن المستخدمين والمنظمين بحاجة إلى الثقة بأن إعادة التصميم عالجت نمط الفشل الفعلي. هل تقلص الدخول؟ هل تعززت المصادقة؟ هل تحسنت المراقبة؟ هل تلقت الحسابات البارزة حماية إضافية؟ هل تغير تدريب الهندسة الاجتماعية؟ هل أصبحت أدوات التقييد الطارئة أوضح؟
التعرض الخاص كان مسألة أدلة منفصلة
كانت المنشورات العامة الضرر الأكثر وضوحًا، لكن الاستيلاء على الحساب يثير أيضًا سؤال أدلة أكثر هدوءًا: ما مواد الحساب الخاصة التي كان يمكن الوصول إليها؟ رأى المستخدمون العامون تغريدات احتيال. كان على مالكي الحسابات والمنظمين أن يسألوا عن الرسائل المباشرة، وعناوين البريد الإلكتروني، وأرقام الهواتف، وإعدادات الحساب، وحالة الجلسة، وبيانات الاسترداد، والبيانات الوصفية الداخلية. الجواب مهم لأن نفس الدخول الداخلي الذي يمكنه النشر علنًا قد يكشف أيضًا معلومات خاصة أو يمكّن من هجمات مستقبلية.
ميّزت تحديثات تويتر العامة بين الحسابات المستخدمة للنشر وأسئلة الدخول الأوسع للحسابات، لكن المراقبين الخارجيين ظلوا بحاجة لفهم حدود الأدلة. هل اطلع المهاجمون على الرسائل المباشرة لأي من الحسابات المتأثرة؟ هل حملوا معلومات الحساب؟ هل غيروا عناوين البريد الإلكتروني أو أرقام الهواتف؟ هل خلقوا استمرارية؟ هل استخدموا الأدوات الداخلية فقط لإعادة التعيين أو النشر، أم أيضًا لفحص بيانات الحساب الخاصة؟ هذه الأسئلة ليست ترويعية؛ إنها تتبع مباشرة من سلطة النظام الداخلي.
بالنسبة للمستخدمين ذوي المكانة العالية، يمكن أن يكون التعرض الخاص أكثر ضررًا من الاحتيال العلني. قد تحتوي الرسائل المباشرة لصحفي على معلومات مصدر. قد يتضمن حساب مسؤول رسمي تنسيقًا حساسًا. قد يحمل حساب شركة إعلانات محظورة، أو شكاوى عملاء، أو جهات اتصال أزمات. قد يواجه شخصية مشهورة أو ناشط مخاطر سلامة شخصية. ينبغي على المنصة أن تفصل "إزالة المنشور الكاذب" عن "مراجعة التعرض الخاص". هاتان حالتان مختلفتان.
الأدلة المطلوبة لتقييم التعرض الخاص مختلفة أيضًا. يحتاج المحققون إلى سجلات الأدوات الداخلية، وسجلات الدخول للحساب، ومعلومات الجلسة، والتغييرات في بيانات الاسترداد، ونشاط API، وطلبات البيانات المصدرة، وأي وصول غير عادي للرسائل. يحتاجون إلى حفظ السجلات قبل أن يمحو التنظيف الطارئ الأثر. يحتاجون إلى إخبار مالكي الحسابات بما يكفي للتصرف دون كشف تفاصيل تساعد المهاجمين.
ينبغي أن يكون الإشعار العام متعدد الطبقات. يحتاج المستخدمون العاديون إلى إرشاد عام. يحتاج مالكو الحسابات المتأثرة إلى نتائج مباشرة ومحددة. قد يحتاج مالكو الحسابات شديدة الحساسية إلى دعم منفصل، أو تنسيق مع سلطات إنفاذ القانون، أو نصائح حول حماية جهات الاتصال. يجب ألا تكشف المنصة بشكل مفرط عن حقائق حساب خاص للجمهور، لكن يجب ألا تخفي عدم اليقين عن الأشخاص الذين يتحملون المخاطر.
هنا أيضًا تصبح مراجعة الدخول الداخلي أكثر من مسألة موارد بشرية. إذا كان بإمكان أداة موظف كشف بيانات حساب، وليس فقط سلطة النشر، فإن لكل إجراء مميز عواقب خصوصية. يجب تبرير الدخول وتسجيله ومراجعته. يجب أن يحد تصميم الأداة مما يمكن لموظفي الدعم رؤيته ما لم تطلب مهمة ذلك. يجب إخفاء الحقول الحساسة حيثما أمكن. يجب أن تؤدي مشاهدات الحسابات عالية المخاطر إلى إشارات تدقيق حتى لو لم يُنشر منشور عام.
ينطبق منطق التعرض الخاص نفسه بعد حادثة. لا يكفي أن نسأل إن كان المهاجمون قد نشروا. المنشور هو الأثر المرئي. السؤال الأعمق هو ما إذا كان سطح الحساب الخاص قد لُمس. ينبغي أن تكون المنصة الناضجة قادرة على الإجابة على هذا السؤال بسرعة، حسابًا بحساب، بثقة كافية لتوجيه المالك.
التقييد الطارئ هو أداة تحكم عامة
أحد أصعب الخيارات خلال الحادث كان تقييد وظائف المنصة. عندما قيد تويتر النشاط لبعض الحسابات، كان يستخدم التحكم الطارئ لتقليل الضرر أثناء التحقيق. هذه الضوابط فظة. يمكنها منع منشورات احتيال إضافية، لكنها يمكنها أيضًا إسكات مالكي حسابات شرعيين أثناء حدث عام سريع الحركة. هذه المقايضة هي السبب في أن التقييد الطارئ يجب أن يُعامل كأداة تحكم عامة، لا كزر فزع مرتجل.
سؤال التصميم هو ما الذي يطلق التقييد. قد يتطلب حساب مشهور واحد مخترق قفل حساب واحد. قد يتطلب نمط عبر العديد من الحسابات البارزة قيودًا مؤقتة على فئة من الحسابات أو الإجراءات الداخلية. قد تتطلب الأدلة على إساءة استخدام الأدوات الداخلية تعطيل بعض سير عمل الموظفين. تحتاج المنصة إلى معايير قبل الطوارئ لأن فريق الحادث سيتخذ قرارات حوكمة تحت ضغط شديد.
السؤال الثاني هو النطاق. أي الحسابات مقيدة؟ أي الإجراءات ممنوعة؟ هل يمكن لمالكي الحسابات قراءة الرسائل ولكن ليس النشر؟ هل يمكنهم حذف منشورات الاحتيال؟ هل يمكنهم التواصل عبر قنوات بديلة؟ هل تعامل حسابات الحكومة أو الطوارئ أو الصحة أو السلامة العامة بشكل مختلف؟ هل لدى المنصة طريقة لمنع المهاجمين من استغلال حسابات غير مقيدة منخفضة المستوى بينما الحسابات البارزة مجمدة؟ تقييد ضيق جدًا قد يفشل؛ تقييد واسع جدًا قد يخلق اضطرابًا عامًا غير ضروري.
السؤال الثالث هو قابلية التفسير. يجب أن يعرف المستخدمون عندما تفرض المنصة قيودًا طارئة ولماذا. يجب أن يعرف مالكو الحسابات كيف يستعيدون السيطرة الموثوقة. يجب أن يعرف الجمهور ما إذا كان ينبغي تجاهل المنشورات المشبوهة. يجب أن يعرف المنظمون ما إذا كان التقييد حمى المستخدمين أم فقط حد من الضرر السمعة. هذا لا يتطلب كشف كل التفاصيل التقنية، بل يتطلب سجلاً مبدئيًا.
للتقييد الطارئ أيضًا نظير داخلي. إذا كان المهاجمون يستخدمون أدوات الموظفين، قد تحتاج الشركة إلى تقييد الدخول للأدوات، وإبطال الجلسات، وفرض إعادة المصادقة، وتعطيل سير العمل، أو فرض موافقة إضافية. يمكن لهذه الإجراءات أن تبطئ الدعم عبر المنصة. يمكنها أيضًا منع المزيد من الضرر. يجب أن تكون المنصة قادرة على التمييز بين تباطؤ خدمة العملاء وإجراء احتواء ضروري.
لهذا السبب يجب أن يتضمن سجل المجلس أفعال التحكم الطارئ: كُشف، قُيد، أُقفل، أُبطل، أُعيد توثيقه، أُعيد، فُحص، أُبلغ، لم يُحل. كل فعل يقول شيئًا محددًا. المجلس الذي يسمع فقط "استجبنا بسرعة" لا يمكنه تقييم ما إذا كان نظام التحكم ناجحًا. المجلس الذي يرى الأفعال يمكنه أن يسأل أين ضاع الوقت وأي قدرات لم تكن موجودة.
يجب أن تختبر مراجعة ما بعد الحادث التقييد الطارئ عبر تمارين. محاكاة إساءة استخدام الأدوات الداخلية ضد حسابات بارزة. محاكاة منشورات احتيال منسقة عبر فئات الحسابات. محاكاة اختراق بيانات اعتماد موظف خلال حدث إخباري. اسأل من يمكنه التصريح بالقيود، ومن ينقلها، وكيف يُدعم مالكو الحسابات، وكيف يُخطر شركاء مكافحة الاحتيال، وكيف تُحفظ السجلات، وكيف تُرفع القيود. يجب أن يكشف التمرين عن تسليمات المنتج والقانون والسياسة والهندسة والثقة والأمان والدعم والاتصالات والتنفيذيين.
أظهر حادث 2020 أن المنصة يمكنها فرض قيود طارئة، لكن السؤال الدائم هو ما إذا كانت هذه القيود أصبحت قدرة متدرّب عليها. المنصة التي تتوسط الخطاب العام تحتاج إلى أدوات احتواء مصممة بعناية مثل أدوات النشر. وإلا، فإن فشل الضوابط الداخلي القادم سيجبر الشركة مرة أخرى على الاختيار بين السرعة والدقة والإنصاف وتقليل الضرر علنًا.
احتاج مالك الحساب إلى سجل استرداد
كل مالك حساب لُمس حسابه احتاج أكثر من استعادة القدرة على النشر. احتاج إلى سجل استرداد. يجب أن يذكر هذا السجل ما حدث للحساب، وما الدخول الداخلي أو الخارجي الذي لوحظ، وما المحتوى الذي نُشر أو حُوول، وما البيانات الخاصة التي تم أو لم يتم الوصول إليها، وما الإعدادات التي تغيرت، وما بيانات الدخول أو الجلسات التي أُعيد تعيينها، وما الحماية التي أُضيفت، وما أوجه عدم اليقين التي بقيت.
سجل الاسترداد مهم لأن مالكي الحسابات لديهم جماهيرهم الخاصة. قد تحتاج شركة إلى طمأنة العملاء والمستثمرين. قد يحتاج مسؤول رسمي إلى تصحيح معلومات كاذبة. قد يحتاج صحفي إلى حماية المصادر. قد يحتاج شخصية عامة إلى تحذير المتابعين من الاحتيال. قد تحتاج بورصة أو خدمة مالية إلى التنسيق مع فرق مكافحة الاحتيال. الإغلاق الداخلي للمنصة لا يعطي هذه الأطراف الأدلة التي يحتاجونها تلقائيًا.
يجب أن يتضمن السجل أيضًا التوقيت. متى لُمس الحساب لأول مرة؟ متى نُشر محتوى الاحتيال؟ متى أُزيل؟ متى أُقفل الحساب؟ متى استُعيدت السيطرة؟ متى تلقى المالك الإشعار؟ متى حُلت أسئلة التعرض الخاص؟ التوقيت غالبًا هو الفرق بين ملاحظة حادث نظيفة وسردية عامة متنازع عليها.
يجب أيضًا أن يفرق استرداد مالك الحساب حسب المخاطر. حساب صغير استُخدم في الهجوم يستحق الدعم، لكن زعيم وطني أو شركة كبرى أو غرفة أخبار أو وكالة رعاية صحية أو مؤسسة مالية قد تكون لها واجبات لاحقة مختلفة. يجب أن يكون لدى المنصة مسار استجابة للحسابات الحساسة يوفر تنسيقًا مباشرًا أكثر وأدلة أفضل دون السماح للمستخدمين الأقوياء بتجاوز قواعد الأمن بشكل عرضي.
يحمي سجل الاسترداد أيضًا المنصة. إذا استطاعت الشركة أن تُظهر أنها أعطت معلومات محددة ودقيقة وفي الوقت المناسب لمالكي الحسابات المتأثرين، تكون أقل عرضة للاتهامات بأنها قللت من شأن الحادث. إذا لم تستطع إظهار ذلك، قد يملأ مالكو الحسابات الفجوة بالتكهنات أو لقطات الشاشة أو التصريحات العامة المتضاربة. الأدلة تقلل الإشاعة.
أخيرًا، يجب أن يعود سجل الاسترداد إلى تصميم المنتج. إذا سأل العديد من مالكي الحسابات نفس الأسئلة، يجب أن تصبح هذه الأسئلة جزءًا من قالب الحادث التالي. إذا لم يستطع المالكون فهم أي الضوابط تحميهم، يجب أن يظهر المنتج حالة أمان أقوى. إذا احتاج مالكو الحسابات الحساسة ميزات لا تحتاجها الحسابات العادية، يجب أن تجعل المنصة السياسة صريحة. الاسترداد ليس نهاية الحادث، بل هو بداية إعادة التصميم.
عينة تدقيق مفيدة ستتبع إجراءً مميزًا واحدًا
أبسط عينة تدقيق بعد حادث تويتر ستتبع إجراء حساب مميز واحد من الطلب إلى التنفيذ. اختر حسابًا حساسًا. اسأل من يمكنه الاطلاع عليه، ومن يمكنه تغيير تفاصيل الاسترداد، ومن يمكنه إعادة تعيين الدخول، ومن يمكنه تجاوز القيود، وأي موافقة كانت مطلوبة، وأي ظروف جهاز وشبكة فُحصت، وأي أحداث سجل أُنشئت، ومن راجع تلك الأحداث، وأي إنذار كان سيُطلق إذا بدا الإجراء غير طبيعي. ثم أعد تشغيل نفس الإجراء تحت ضغط الهندسة الاجتماعية.
هذه العينة تتجنب التأكيد المبهم. لا تسأل ما إذا كانت الشركة تهتم بالأمن، بل تسأل ما إذا كان يمكن تنفيذ إجراء داخلي محدد بأمان. إذا كان يمكن اتخاذ الإجراء من قبل موظف واحد خُدع دون مصادقة قوية وموافقة وتسجيل وإنذار، فإن المنصة لديها فجوة تحكم ملموسة. إذا كان الإجراء يتطلب دخولًا مبررًا، ومراجعة ثانية، وسجلات مقاومة للعبث، ومراقبة بعد الإجراء، فإن المنصة لديها دليل.
وينبغي أن تأخذ عينة التدقيق أيضًا عينات من الرفض. هل يمكن لموظف أن يقول لا لطلب مريب دون عقوبة؟ هل يمكن للدعم تصعيد مكالمة غريبة بسرعة؟ هل يمكن منع الدخول الطارئ حتى يتم التحقق من الهوية؟ هل يمكن للشركة إثبات أن إجراءً مميزًا لم يحدث؟ دليل الرفض مهم لأن العديد من هجمات الهندسة الاجتماعية تنجح بخلق الاستعجال وجعل الرفض يبدو كخدمة عملاء سيئة.
هذا النوع من التدقيق ضيق، لكنه بالضبط حيث تعيش الثقة العامة. الحساب العام هو الأثر المرئي. الإجراء الداخلي المميز هو المفصل الخفي.
الثقة العامة يجب أن تُتدرب عليها مثل وقت التشغيل
الدرس الأخير من تويتر هو أن إخفاقات الأصالة العامة يجب أن تُتدرب عليها مثل الانقطاعات. يجب أن تتدرب المنصة على ما يحدث عندما تنتج الأدوات الداخلية خطابًا عامًا كاذبًا: من يجمد الحسابات، ومن يحذر المستخدمين، ومن يتصل بالبورصات أو شركاء الدفع، ومن يدعم مالكي الحسابات، ومن يشرح عدم يقين التعرض الخاص. تمارين وقت التشغيل تحمي التوفرية. تمارين الأصالة تحمي ما إذا كان يمكن للمستخدمين تصديق الحساب المرئي على الإطلاق.
اختبار المساءلة هو التحكم العام الأصيل
السؤال الخاضع للمساءلة بعد اختراق تويتر 2020 ليس فقط ما إذا كان المهاجمون قد قُبض عليهم أو ما إذا كانت منشورات الاحتيال قد أُزيلت، بل ما إذا كانت المنصة يمكنها إثبات أن أصالة الحساب العام قامت على ضوابط بقوة الثقة التي يضعها المستخدمون في الحسابات المرئية. كان على النظام الداخلي أن يطابق المعنى العام للحسابات التي يمكنه تغييرها.
لا يُظهر السجل العام كل إعادة تصميم داخلي، أو كل تغيير في الدخول، أو كل اختبار بعد الحادث. لكنه يُظهر أن الهجوم استغل سطحًا داخليًا عالي التأثير وأن المنظمين والمدعين العامين والبورصات والصحفيين والمستخدمين جميعًا عاملوا الحدث كأكثر من مجرد إساءة استخدام حساب عادية. هذا هو الإطار الصحيح. أصبحت أدوات المنصة نفسها موضوع الخطر.
بالنسبة للمنصات الاجتماعية، الدرس دائم. يجب تصميم أنظمة الإدارة والدعم كأنظمة سلامة عامة عندما يمكنها التأثير على الخطاب العام. يجب تقليل دخول الموظفين. يجب أن يكون للحسابات عالية المخاطر ضوابط خاصة. يجب تصميم المرونة ضد الهندسة الاجتماعية في سير العمل، وليس تركها للتدريب فقط. يجب أن يكون تنسيق مكافحة الاحتيال سريعًا. يجب أن يكون الإشعار العام منظمًا ودائمًا. يجب أن تميز تقارير ما بعد الحادث بين ما هو معروف وما تغير وما بقي غير مؤكد.
بالنسبة للمستخدمين، الدرس غير مريح. الحساب الموثق أو البارز ليس دليلاً على أن الشخص أو المنظمة المسماة كتبت الرسالة. أصالة الحساب تعتمد على سلسلة تشمل أمن المستخدم، وضوابط المنصة الداخلية، ودخول الموظفين، وسير عمل الاسترداد، والاستجابة للحادث. معظم هذه السلسلة غير مرئية للمستخدمين العاديين. هذا الخفاء هو سبب أهمية مساءلة المنصة.
بالنسبة للمنظمين والمجالس، الدرس هو السؤال عن سطح التحكم خلف الثقة العامة. من يمكنه لمس الحسابات البارزة؟ ما الموافقة المطلوبة؟ ما السجلات الموجودة؟ ما القيود الطارئة التي يمكن تطبيقها؟ ما دفاعات الهندسة الاجتماعية التي تحمي الموظفين؟ ما سيناريوهات الضرر العام التي تم التدرب عليها؟ يجب أن تكون الإجابات أدلة، لا ثقة بالعلامة التجارية.
يجب أن يُذكر حادث تويتر 2020 بالاحتيال، لكن لا يقتصر عليه. الاحتيال كان الإشارة المرئية. القضية الأساسية كانت أن السلطة الداخلية لمنصة يمكن تحويلها إلى خطاب عام كاذب. عندما يحدث ذلك، المنصة ليست مجرد ضحية للمهاجمين، بل هي مشغل نظام التحكم الذي جعل فشله الخداع قابلاً للتصديق. التواصل العام الأصيل يعتمد على أن يُحكم هذا النظام ويُختبر ويُقيد قبل أن يحاول المهاجم التالي استعارة صوت موثوق.

