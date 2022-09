صباح يوم الخميس الماضي، الموافق 15 سبتمبر/أيلول، استيقظ الشاب لوكاس رويز ومارس روتينه الصباحي المعتاد، ثم انطلق في رحلته اليومية إلى مكتبه التابع لشركة أوبر، في مقاطعة سانتو دومينغو بمحافظة إيريذيا في شمال كوستاريكا. في المعتاد، كان يومه ليمر بشكل اعتيادي، مع المشكلات والشكاوى نفسها التي يتلقاها من العملاء كل يوم. لكن لوكاس كان على موعد مع حادثة مختلفة ومفاجئة ستقلب يومه، بل ويوم شركة "أوبر" بأكملها!

عندما فتح لوكاس تطبيق "سلاك" (Slack) الذي يستخدمه الموظفون في الشركة للتواصل بينهم، وجد رسالة من شخص مجهول مفادها: "أعلن أنني مخترق "هاكر"، وأن أوبر تعاني من اختراق للبيانات". أشارت الرسالة أيضا إلى عدد من قواعد بيانات الشركة والخدمات السحابية التي ادّعى المخترق أنه وصل إليها، وختم رسالته بكلمة "uberunderpaisdrives"، أي إن أوبر تدفع أموالا قليلة للسائقين.

When the individual breached Uber, they sent a slack notification to everyone informing them the company had been breached. Employees thought it was a joke. Photo via @ColtonSeal pic.twitter.com/tTTdPCTdV4 — vx-underground (@vxunderground) September 16, 2022

مراهق في مواجهة أوبر!

في مساء اليوم نفسه، الخميس 15 سبتمبر/أيلول، أكَّدت شركة "أوبر" أنها تتعامل مع "حادثة تتعلق بالأمن الإلكتروني"، وأنها تتواصل مع قوات إنفاذ القانون للإبلاغ عن الاختراق. كانت صحيفة "نيويورك تايمز" أول مَن أبلغ عن الأمر، وأشارت إلى أن المخترق ترك رسالة على تطبيق سلاك، الذي تستخدمه الشركة في التواصل الداخلي بين الموظفين، ليعلن فيها عن نفسه. (1)

We are currently responding to a cybersecurity incident. We are in touch with law enforcement and will post additional updates here as they become available. — Uber Comms (@Uber_Comms) September 16, 2022

ردا على ذلك، أوقفت أوبر الوصول مؤقتا إلى خدمة سلاك وبعض الخدمات الداخلية الأخرى، قبل أن تُعيد سلاك والخدمات الداخلية التي أوقفتها مُجددا في تحديث أطلقته في اليوم التالي. وفي التحديث نفسه ذكرت الشركة أيضا أنه "لا يوجد أي دليل على أن حادثة الاختراق تضمنت الوصول إلى بيانات المستخدمين الحساسة مثل تواريخ رحلاتهم" (2)، لكن سرعان ما تبيَّن أن المشكلة أعقد مما زعمت أوبر.

فخلال الساعات التالية، شارك المخترق لقطات للشاشة مع عدّة باحثين أمنيين على تويتر، وأشارت تلك اللقطات إلى أن أنظمة أوبر الداخلية ربما تعرضت لاختراق شديد، حتى إنه وصل إلى البيانات المالية الداخلية للشركة. وعلى ما يبدو أن أي شيء لم يصل إليه المخترق ربما كان نتيجة لوقته المحدود وليس لقوة الدفاعات الأمنية للشركة، أو تعقيد أنظمة حماية البيانات الخاصة بها.

قام المُخترق بنشر بعض الرسائل على منصة "هاكر وان" (HackerOne) المتخصصة في الإبلاغ عن النقاط الأمنية للشركات التي تستخدمها شركة أوبر نفسها وشركات أخرى لإدارة التقارير عن الثغرات الأمنية ومكافأة الباحثين الذين يكتشفونها. وفي مقابلة أجرتها صحيفة "واشنطن بوست" مع المخترق عبر تطبيق تليغرام للرسائل، أعلن أنه اخترق شركة أوبر "بهدف التسلية"، وأنه ربما يُسرِّب كود المصدر (source code) للشركة في غضون بضعة أشهر، وأن الأمن السيبراني في أوبر "سيئ جدا". (3) الفكرة أن هذا المخترق أكَّد أنه يعمل بمفرده وأنه يبلغ من العمر 18 عاما فحسب، وتفاخر بشرح كيفية تنفيذه للاختراق، في حين أنه لم يكن يخشى من السلطات لأنه يعيش خارج الولايات المتحدة.

كيف حدث ذلك؟

ادّعى المُخترق أنه تمكَّن من اختراق أنظمة أوبر عبر استهداف أحد الموظفين داخلها؛ أرسل إليه عدّة إشعارات لتسجيل الدخول إلى النظام بالمصادقة متعددة العوامل (Multi-Factor Authentication). بعد أكثر من ساعة، تواصل بنفسه مع الموظف على تطبيق واتساب متظاهرا بأنه يعمل في القسم الفني "IT" لأوبر، وأخبره أن تلك الإشعارات ستتوقف بمجرد موافقة الموظف على تسجيل الدخول.

تعتمد هذه الهجمات (4) على مفهوم الهندسة الاجتماعية (Social engineering)، وهي تُستخدم لتحديد الأشخاص العاملين في مجال الأمن للشركة من أجل استخدامهم بوابة للاختراق، وتُعرف كذلك باسم "الإرهاق من إشعارات المصادقة متعددة العوامل" (MFA fatigue)، وتستغل أنظمة المصادقة التي يجب فيها أن يوافق صاحب الحساب على تسجيل الدخول عبر إشعار يُرسل إلى جهازه بدلا من الوسائل الأخرى المتاحة، مثل توليد كود برقم عشوائي يُدخله المستخدم ليتمكَّن من تسجيل الدخول إلى الحساب. ستجد هذه الإشعارات في تطبيق مثل "جيميل" (Gmail) على هاتفك، عندما تحاول الدخول إلى حسابك من أي جهاز آخر، إذا فعّلت هذه الخاصية، فسيرسل إليك إشعارا على التطبيق لتوافق ويمكنك تسجيل الدخول على الجهاز الآخر.

Uber, what you need to know, the thread. 1) pic.twitter.com/CXU75bqrZU — Kevin Beaumont (@GossiTheDog) September 16, 2022

بعد إرسال العديد من الإشعارات، يشعر الضحية بالإرهاق فيوافق على تسجيل الدخول، حينها يمكن للمخترق الوصول إلى الشبكة الافتراضية الخاصة "VPN" للشركة وباقي الأنظمة الأخرى التي يرغب في استهدافها. هذا النوع من محاولات الاختراق اكتسب شعبية مؤخرا في أوساط المخترقين، وعموما طوَّر المخترقون أساليب جديدة للتحايل على ميزة المصادقة الثنائية، خاصة مع زيادة استخدامها حاليا في الشركات والمؤسسات المختلفة.

اختراق ضخم!

بمجرد حصول الهاكر على وصول مبدئي لأنظمة الشركة الداخلية، تمكَّن من الوصول إلى مصادر خاصة ومهمة للغاية، شملت مثلا برنامج مايكروسوفت للأتمتة والإدارة المعروف باسم "باورشيل" (PowerShell)، وهي نافذة تشبه "موجِّه الأوامر" (Command Prompt) في نظام ويندوز، لكنها تختلف في الوظيفة بالطبع، تشمل أكثر من 130 من أسطر الأوامر القياسية للوظائف المختلفة داخل النظام، يستخدمها غالبا مسؤولو النظام (administrators) لتنفيذ مهام مختلفة على أنظمة التشغيل بأجهزتهم وكذلك للأجهزة التي يتحكمون فيها بعد. (5)

في حالة اختراق أوبر، كان أحد برامج "باورشيل" يحتوي على بيانات دخول مشفرة لحساب أحد مسؤولي نظام "إدارة الوصول للامتيازات" (Thycotic privilege manager)، وهو النظام الذي يُستخدم لحماية بيانات تسجيل الدخول الحساسة للشركة. وعبر السيطرة على هذا الحساب تمكَّن المخترق من الوصول إلى شفرات الخدمات السحابية للشركة، بما في ذلك لوحات التحكم لخدمات أمازون السحابية "AWS"، وخدمة الشركات "G-suit" من غوغل، وكذلك خدمة إدارة الهوية والوصول "OneLogin"، بجانب بعض المعلومات الحساسة الأخرى مثل البيانات المالية الداخلية للشركة.

Apparently there was an internal network share that contained powershell scripts… "One of the powershell scripts contained the username and password for a admin user in Thycotic (PAM) Using this i was able to extract secrets for all services, DA, DUO, Onelogin, AWS, GSuite" pic.twitter.com/FhszpxxUEW — Corben Leo (@hacker_) September 16, 2022

بعد كل هذه البيانات المُسربة، وحجم الاختراق الضخم، تزعم شركة أوبر أنه لا يوجد دليل على الوصول إلى بيانات المستخدمين الحساسة، ويبقى السؤال المطروح: كيف يمكن أن نصدق مثل هذا الادعاء؟ خاصة أن أوبر تحديدا تمتلك سابقة في الاختراقات الحساسة واسعة المدى التي شملت بيانات السائقين والعملاء.

ليست المرة الأولى!

تكمن المشكلة الرئيسية هنا في حجم الاختراق، الذي لم تكن الشركة شفافة بشأنه في المقام الأول، وهو ما دفع بعض خبراء الأمن الإلكتروني إلى الإشارة أنه نظرا إلى حجم الاختراق فمن الممكن أن يطّلع المخترق على بيانات المستخدمين (6). وقد أظهرت بعض لقطات الشاشة المُسربة فعلا إمكانية وصول محدودة إلى بعض معلومات العملاء. لكن هذا وحده لا يعني الكثير، لأن ما يهم حقا هو حجم ما تمكَّن المخترق من الوصول إليه من البيانات، وللأسف فإن هذا الحجم مجهول حتى الآن.

تستدعي هذه الحادثة ذكر تسرب البيانات الهائل الذي حدث لشركة أوبر عام 2016، إذ تمكَّن المخترقون من سرقة البيانات الشخصية من حسابات 57 مليون عميل وسائق، وطالبوا الشركة بدفع فدية قدرها 100 ألف دولار ليتخلَّصوا من نسختهم من تلك البيانات الحساسة. في النهاية، وافقت أوبر على دفع الفدية، ولكنها أخفت تلك الحادثة تماما لأكثر من عام كامل. ثم في عام 2017، أطاحت الشركة بأكبر مسؤول تنفيذي لأمن المعلومات، "جو سوليفان"، لدوره في إخفاء عملية تسرب البيانات. وقالت الشركة حينها إن البيانات التي تسربت تضمنت أسماء وعناوين البريد الإلكتروني وأرقام الهواتف لـ50 مليون عميل حول العالم، بجانب المعلومات الشخصية لنحو 7 ملايين سائق، وأكَّدت حينها أنها لم تشمل أرقام أو معلومات بطاقات الائتمان أو تفاصيل الرحلات والموقع أو البيانات الأخرى. (7)

لذا فإن مسألة تسرب بيانات العملاء قد تكون واردة جدا، لكن إن كان المخترق كما يدّعي، شابا مراهقا ذا 18 عاما، فإن حجم البيانات الهائل سيكون عائقا أمامه، أو هكذا يأمل الجميع!

نمط متكرر!

حسنا، لننتقل الآن إلى الصورة العامة للحدث: لماذا تبدو شركات التقنية الكبرى هشة هكذا أمام الاختراقات؟ والجواب أنه في حين أن شركات التكنولوجيا تشتهر بتوظيف أفضل وألمع العقول الفنية في معظم المجالات، فإن تلك الخبرات غالبا ما يُطلب منها التدرب على بناء منتجات جديدة بدلا من التدرب على حمايتها من الأساس.

تأتي حادثة أوبر بعد يومين فقط من شهادة لـ"بيتر زاتكو"، كبير مسؤولي الأمن السابق في تويتر، في جلسة استماع بمجلس الشيوخ الأميركي ذكر خلالها أن الشركة كانت تعاني من أوجه قصور شديدة في مجموعة من المجالات، بما فيها الخصوصية والأمن الرقمي، وأن المديرين التنفيذيين يفضلون زيادة الأرباح على الاهتمام بأمن المستخدمين! (8)

عمل بيتر زاتكو في تويتر بعد أن عانت المنصة من أسوأ اختراق في تاريخها في يوليو/تموز من عام 2020. في هذا الهجوم، أقنع مراهق صغير، يبلغ 17 عاما من فلوريدا، أحد موظفي تويتر أنه زميله بالعمل، مستخدما تكتيك الهندسة الاجتماعية السابق الإشارة إليه. وتمكَّن حينها من تجاوز أنظمة الأمن للمنصة ووصل إلى مجموعة من حسابات المشاهير مثل الرئيس الأميركي الأسبق باراك أوباما، والرئيس الحالي جو بايدن، والملياردير الأميركي إيلون ماسك، والمطرب كاني ويست، وغيرهم. (9)

وفي مارس/آذار الماضي، أعلنت شركة "أوكتا" (Okta)، وهي توفر خدمة التحقق من الهوية الرقمية، أنها واجهت اختراقا أمنيا أثَّر على نحو 366 عميلا لديها. وذكرت الشركة أن المخترقين، وهم مجموعة الهاكرز المعروفة باسم "لابسوس" ($Lapsus)، تمكَّنوا من الوصول إلى بيانات الشركة عبر حاسوب محمول لأحد المهندسين لديها. (10) وفي الشهر نفسه، أعلنت شركة مايكروسوفت تعرُّضها للاختراق من المجموعة نفسها، لكن الشركة ذكرت أن وصول المخترقين كان محدودا ولم يتضمن أي بيانات للعملاء. (11)

هذا النمط من الاختراقات وتسرب البيانات لأكبر شركات التكنولوجيا أصبح متكررا في الفترة الماضية، وربما حادثة أوبر لن تكون الأخيرة، خاصة مع اهتمام تلك الشركات بتعظيم مكاسبها على حساب الاهتمام بأنظمة الحماية الخاصة بها، وهو ما يجعل دفاعاتها هشة جدا، حتى في مواجهة مراهق غاضب يبلغ من العمر 18 عاما فقط.

——————————————————————————–

المصادر: