في الهندسة الاجتماعية قاعدة راسخة: أسهل طريقة لاختراق وهذا بالضبط ما فعله مجهولون مع مساعد الدعم الذكي، حين حوّلوه من أداة حماية إلى مفتاح دخول
نهاية آيار/مايو الماضي،بدأت تتسرب عبر قنوات متخصصة على "تلغرام" تعليمات مفصّلة تشرح ثغرة في منطق المساعد الذكي لاستعادة لم تكن الثغرة في الكود، بل في القرار: كان المساعد يقبل إضافة عنوان بريد إلكتروني جديد إلى حساب قائم ضمن إجراءات إعادة تعيين كلمة المرور، من دون التحقق الكافي من هوية الطالب
الاستغلال يضع المهاجم عنوان IP قريباً جغرافياً من الضحية عبر VPN، يطلب إعادة تعيين كلمة المرور، يفتح محادثة مع المساعد الذكي، ويخرج في النهاية برمز تحقق يُرسَل إلى بريده ثلاث خطوات، وحساب في يد شخص آخر
الأهداف سقطت حسابات بارزة بينها حساب مرتبط بالبيت الأبيض من عهد الرئيس أوباما، وحساب كبار رقباء قوات الفضاء الأميركية، ونُشرت عليها رسائل وعلى المسار الآخر — المالي — ادّعى المهاجمون أنهم استولوا على أسماء مستخدمين قصيرة ذات قيمة سوقية تتجاوز نصف مليون دولار، وهي سوق خفية وراسخة تُتداول فيها حيازة الهويات الرقمية النادرة
ردّت "ميتا" بتحديثٍ أمني طارئ خلال عطلة نهاية الأسبوع، مؤكدةً أن قواعد بياناتها وهذا صحيح ما جرى ليس اختراقاً للبنية التحتية، وهو نوع من الهجمات يصعب رصده مبكراً لأنه لا يُطلق أي إنذارات: كل خطوة فيه تبدو مشروعة من منظور النظام
ما تكشفه إنها تُعيد طرح سؤال لم تجب عنه الشركات الكبرى بعد: حين يتولى الذكاء الاصطناعي إدارة هويات المستخدمين والتحقق منهم، من يتحقق من الذكاء الاصطناعي نفسه؟ أنظمة الدعم الذكي مُصمَّمة لتكون متساهلة بما يكفي لمساعدة المستخدم الحقيقي الذي نسي كلمة مروره، وهذا بالضبط ما يجعلها هدفاً
وأظهرت الحادثة أيضاً أهمية المصادقة فبحسب ما ذكره المهاجمون الذين نشروا تفاصيل الاستغلال، فإن طريقتهم لم تنجح مع الحسابات التي كانت هذه الميزة مفعّلة عليها، ما يشير إلى أن طبقة التحقق الإضافية كانت كافية لإحباط عملية الاستيلاء على الحسابات عبر هذا المسار، لا لأن المهاجمين لم يستهدفوا تلك الحسابات بالضرورة، بل لأن وجود خطوة تحقق إضافية عطّل السلسلة التي اعتمدت عليها عملية الاستغلال
اقرأ أيضاً في آفاق عربية
1
2
3
4
5
6
7
8
9
10
11
12
💬 كن أول من يعلق! وقول رأيك
شاركنا رأيك حول هذا المقال، وناقش مع الآخرين في التعليقات
لا توجد تعليقات بعد.
كن أول من يشارك برأيه!