تعرضت شركة "تويليو" (Twilio) مؤخرا -التي تزود تطبيق "سيغنال" (Signal) بخدمات التحقق من رقم الهاتف- لهجوم تصيد احتيالي. وأمام هذا الهجوم نشر تطبيق سيغنال مقالا حول "ما يجب أن يعرفه مستخدم التطبيق حول الهجوم".
وطمأن التطبيق المستخدمين بأن محفوظات الرسائل وقوائم جهات الاتصال ومعلومات الملف الشخصي والأشخاص الذين قاموا بحظرهم والبيانات الشخصية الأخرى ما زالت خاصة وآمنة ولم تتأثر.
ويقول التطبيق إنه "بالنسبة لحوالي 1900 مستخدم حاول المهاجم إعادة تسجيل أرقامهم على جهاز آخر أو علم أن رقمهم مسجل في سيغنال. وتم إيقاف هذا الهجوم منذ ذلك الحين بواسطة تويليو".
ووفق شركة سيغنال فإن 1900 مستخدم يمثلون نسبة صغيرة جدا من إجمالي مستخدمي سيغنال، مما يعني أن معظم المستخدمين لم يتأثروا.
وتقوم سيغنال بإخطار هؤلاء المستخدمين البالغ عددهم 1900 مباشرة، وتطالب بإعادة تسجيل تطبيق سيغنال على أجهزتهم وتقول الشركة في رسالتها للمستخدمين "إذا تلقيت رسالة نصية قصيرة من سيغنال تحتوي على رابط لمقال الدعم هذا، فيرجى اتباع الخطوات التالية:
افتح تطبيق سيغنال على هاتفك وسجل حساب سيغنال مرة أخرى إذا طلب منك التطبيق القيام بذلك.
لحماية حسابك بشكل أفضل، نوصي بشدة بتمكين قفل التسجيل في إعدادات التطبيق. لقد أنشأنا هذه الميزة لحماية المستخدمين من تهديدات مثل هجوم تويليو".
ماذا حدث بالضبط؟
وقالت سيغنال "أبلغتنا تويليو، الشركة التي تزود سيغنال بخدمات التحقق من رقم الهاتف، أنها تعرضت لهجوم تصيد احتيالي. لقد أجرينا تحقيقا في الحادث".
وتابعت "تمكن أحد المهاجمين من الوصول إلى وحدة تحكم دعم العملاء في تويليو عبر التصيد الاحتيالي. بالنسبة لحوالي 1900 مستخدم فهذا يعني إما أنه تم الكشف عن أرقام هواتفهم على أنها مسجلة في حساب سيغنال أو تم الكشف عن رمز التحقق عبر الرسائل النصية القصيرة المستخدم للتسجيل في سيغنال".
وتقول "أثناء النافذة التي تمكن فيها المهاجم من الوصول إلى أنظمة دعم العملاء في تويليو، كان من الممكن له محاولة تسجيل أرقام الهواتف التي وصل إليها على جهاز آخر باستخدام رمز التحقق عبر الرسائل القصيرة. لم يعد المهاجم لديه هذا الوصول، وتم إيقاف الهجوم بواسطة تويليو".
وتقول الشركة إنه "من بين 1900 رقم هاتف، بحث المهاجم صراحة عن 3 أرقام، وتلقينا بلاغا من أحد هؤلاء المستخدمين الثلاثة يفيد بإعادة تسجيل حسابهم".
وتوضح سيغنال "الأهم من ذلك، أن هذا لم يمنح المهاجم حق الوصول إلى أي سجل رسائل أو معلومات ملف تعريف أو قوائم جهات اتصال. يتم تخزين سجل الرسائل على جهازك فقط ولا يحتفظ تطبيق سيغنال بنسخة منه".
وتابعت "لا يمكن استرداد قوائم جهات الاتصال الخاصة بك، ومعلومات ملف التعريف، والأشخاص الذين حظرتهم، والمزيد إلا باستخدام سيغنال "بن" (PIN) الخاص بك والذي لم (ولا يمكن) الوصول إليه كجزء من هذه الحادثة".
ومع ذلك، في حالة تمكن المهاجم من إعادة تسجيل حساب، يمكنه إرسال واستقبال رسائل تطبيق سيغنال من رقم الهاتف هذا.
نحن نتخذ هذه الخطوات لحماية المستخدمين المتأثرين
وتقول سيغنال إنها "بالنسبة لجميع المستخدمين البالغ عددهم 1900 من المستخدمين المحتمل تأثرهم، سنلغي تسجيل سيغنال على جميع الأجهزة التي يستخدمها المستخدم حاليا (أو التي سجلها أحد المهاجمين فيها) وسنطلب منهم إعادة تسجيل سيغنال برقم هواتفهم على أجهزتهم المفضلة".
وتقوم الشركة بإخطار جميع المستخدمين البالغ عددهم 1900 شخص والمحتمل تأثرهم مباشرة عبر الرسائل القصيرة.
واعتبارا من 15 أغسطس/آب الجاري، تبلّغ سيغنال المستخدمين وتطلب منهم إعادة تسجيل سيغنال بأرقام هواتفهم. وتتوقع إكمال هذه الخطوة بحلول 16 أغسطس/آب.
وتوضح سيغنال أن نوع هجوم الاتصالات الذي عانت منه شركة تويليو هو ثغرة أمنية. وقد طورت سيغنال ميزات مثل قفل التسجيل وأرقام التعريف الشخصية للإشارة للحماية منها. وتشجع الشركة المستخدمين بشدة على تمكين قفل التسجيل.
وتعترف سيغنال بأنها على الرغم من عدم قدرتها على إصلاح المشكلات التي تؤثر على نظام الاتصالات بشكل مباشر، فإنها ستعمل مع تويليو وربما مزودين آخرين لتشديد إجراءات الأمان الخاصة بهم "حيثما كان ذلك مهما لمستخدمينا" وفق قولها.
هل أثّر هذا عليَّ؟
تقول سيغنال إنها استنادا إلى المعلومات التي تلقتها من تويليو، "من المحتمل أن يكون 1900 مستخدم قد تأثروا، نحن نبلغ هؤلاء المستخدمين عبر الرسائل القصيرة، سنبدأ في إخطار المستخدمين في 15 أغسطس/آب ونحن في طريقنا لإكمال إشعار المستخدمين بحلول 16 أغسطس/آب".
وتنص الرسالة النصية "إس إم إس" (SMS) التي ترسلها سيغنال إلى هؤلاء المستخدمين على ما يلي "هذه الرسالة من سيغنال "ماسنجر" (Messenger). نحن نتواصل معك حتى تتمكن من حماية حسابك على سيغنال. افتح تطبيق سيغنال وسجّل مرة أخرى. مزيد من المعلومات https //signal.org/smshelp".
فإذا رأيت هذه الرسالة عند فتح تطبيق سيغنال والتي تفيد بأن جهازك لم يعد مسجلا، فربما تكون قد تأثرت، ولكن يمكن أن يكون هناك أسباب أخرى لعدم تسجيلك، مثل عدم دخولك لفترة طويلة على النظام.
****
****
حمل الآن تطبيق الجالية العربية في أمريكا
واستمتع بالعديد من الخدمات المجانية ... منها :
* الانتساب إلى نادي الزواج العربي الأمريكي
* الحصول على استشارة قانونية مجانية حول الهجرة واللجوء إلى أمريكا .
* الاطلاع على فرص العمل في أمريكا
* تقديم طلب مساعدة مادية أو خدمية
لتحميل التطبيق من متجر Google Play لجميع أجهزة الأندرويد
لتحميل التطبيق من متجر App Store لجميع أجهزة أبل