به روز رسانی [۱۰ شهریورماه ۱۳۹۸]: پس از بررسی دقیقتر بایستی عنوان نمایم که این یک حفره امنیتی نیست بلکه یک سیاهچاله امنیتی است. بنابر مستندات رسمی توییتر برای پیامهای متنی، با ارسال پیامک از شماره همراه ربوده شده میتوان اعمالی مانند بلاک، فالو، آنفالو، ریتوییت، لایک، ارسال دایرکت را انجام داد.
اگر یک فعال سیاسی و یا کاربر سرشناس توییتری داخل کشور هستید به هیچوجه ادامه این مطلب را از دست ندهید.
فهرست مطالب
سلب مسئولیت
شما با ادامه مطالعه این مطلب، موافقت کامل خود با این توافق نامه را اعلام مینمایید:
تمامی محتویات این وب سایت تحت مجوز (CC BY-SA 3.0) Creative Commons Attribution-ShareAlike 3.0 Unported License منتشر شده است. همچنین، تمامی سورس کدهای منتشر شده در این وب سایت تحت لیسانس MIT License منتشر شده است، مگر آن که به صراحت ذکر شده باشد. تمامی محتویات ارائه شده صرفا جنبه آموزشی و اطلاعاتی داشته و فاقد هرگونه ضمانت، تعهد یا شرایطی از هر نوع می باشد. بایستی توجه نمود که اطلاعات عرضه شده حتی ممکن است دقیق و یا بروز نباشد. هرگونه اطمینان به و یا استفاده از محتویات یا منابع منتشر شده در این وب سایت با مسئولیت مخاطب بوده و نگارنده یا نگارندگان هیچ گونه مسئولیتی در مورد عواقب آن را نخواهند پذیرفت.
حساب کاربری توییتر جک دورسی چگونه هک شد؟
در مدت چند هفته گذشته، حسابهای کاربری تعدادی از اینفلونسریهای شبکههای اجتماعی نظیر Shane Dawson، James Charles، zane، Shroud، King Bach، Amanda Cerny، و بسیاری دیگر در شبکه اجتماعی توییتر و سرویس پخش زنده توییچ.تیوی توسط گروهی به نام #ChucklingSquad هک شده است. گویا حساب کاربری جک دورسی هم توسط این گروه و به رهبری شخصی با نام مستعار Aqua هک شده است.
اما این حسابها با چه روشی هک شدهاند؟ بنابر اظهارات Keemstar، King Bach و Amanda Cerny گویا این هکها با سواستفاده از یک خطای انسانی در سرویسدهنده چندملیتی و مشهور AT&T افتاده است. ظاهرا در این روش هکرها با AT&T تماس گرفته و به اپراتور انسانی میگویند که کلمهعبور خود را گم کردهاند. سپس اپراتور، شماره سیم کارت را از تلفن قربانی به تلفن هکر منتقل مینماید. به همین سادگی هکر کنترل حسابهای کاربری مرتبط با آن شماره تلفن را در اختیار خواهد گرفت. آماندا سرنی اظهار نموده که:

آماندا سرنی: بار دوم شماره تلفن من به دلیل خطای انسانی در شرکت AT&T هک شد؟! تمام مراحل ممکن برای تأیید را بعد از اولین بار دوباره اضافه کردم و حساب من هنوز به خطر افتاده است... زمان تعویض اپراتور همراه رسیده است. همگی مراقب باشید.
در اینجا احتمال کمی نیز وجود دارد که کارمندان AT&T در ازای دسترسی به شماره تلفن همراه، توسط گروهی از هکرها رشوه دریافت نموده باشند. با این حال، این بسیار بعید به نظر میرسد.
البته اینها تئوری مطرح شده توسط Keemstar, King و Amanda میباشد و بایستی دید AT&T در این باره چه نظری دارد. اما چیزی که مشخص است تمامی قربانیها از سرویس تلفن AT&T استفاده نمودهاند.
در توییتی رسمی که دیروز از سوی توییتر منتشر شده است، توییتر اذعان نموده که:

کامنتهای توییتر: شماره تلفن مرتبط با حسابکاربری به دلیل اشتباه سهوی امنیتی از طرف ارائه دهنده تلفن همراه به خطر افتاد. این به یک شخص غیرمجاز اجازه می دهد تا بتواند از طریق پیام متنی توییتهایی را ایجاد و ارسال نماید. این مسئله اکنون برطرف شده است.
همانطور که مستحضرید توییتر نام اپلیکیشنی که از آن توییت را ارسال نمودهاید را در توییتهای شما نمایش میدهد. در نگاه اول به نظر میرسد که توییتهای منتشر شده از سوی هکرها در حساب کاربری جک از سرویسی تحت عنوان Cloudhopper که توسط توییتر در سال ۲۰۱۰ خریداری شده است ارسال شده باشد و آنها کنترل حساب جک در این سرویس را بهدست گرفته باشند. اما واقعیت این است که اینگونه نیست. اگر شما پیامکی را با شماره تلفن مرتبط با حساب کاربری توییترتان به شماره تلفن 404-04
ارسال نمایید، آن پیامک به عنوان یک توییت در حساب کاربری توییترتان منتشر خواهد شد!
در واقع هکرها هرگز کنترل حساب جک را بهدست نیاوردهاند، بلکه به این دلیل که توانستهاند کنترل شماره تلفن همراه را به دست بگیرند، توانایی ارسال توییت از طرف جک را داشتهاند. گویا توییتر توییتهایی که به این روش ارسال میشوند را به عنوان توییتهای منتشر شده از سرویس Cloudhopper نمایش میدهد.
اما مگر میشود بدون به اصطلاح سوزاندن سیمکارت، شماره را از سیمکارتی به سیمکارت دیگر منتقل نمود؟ واقعیت این است که برای مثال در اروپا که بنده اطلاع دارم با استفاده از Smart Sim Cardها میتوان به سادگی یک شماره را بدون دریافت سیمکارت جدید از یک شماره به شماره دیگر منتقل نمود. همانطور که دیشب در برنامه بفرمایید آزادی توضیح دادم این تکنیک هک کردن را SIM Swap یا مبادله سیم کارت مینامند که با بهره برداری از قابلیت شبکه تلفن همراه جهت انتقال شماره تلفن به یک سیم کارت دیگر انجام می شود. لازم به ذکر است که، در ۹ ژوئن ۲۰۱۹، اینترسپت پیام های لو رفته تلگرامی مابین وزیر دادگستری برزیل و دادستان های برزیلی را منتشر نمود که با همین روش هک شده بود.
آیا توییتر آسیبپذیر است؟
با توجه به حملات شناخته شده SIM Swap به نظر میرسد که توییتر در این مورد آسیبپذیر باشد و اگر فردی بتواند به هر روشی شبکه تلفن همراه را متقاعد نماید که شماره تلفن مرتبط با شما متعلق به اوست میتواند به جای شما توییت ارسال نماید. همچنین اگر در ایران زندگی میکنید نهادهای امنیتی میتوانند با استفاده از این روش در ساعاتی که شما فعال نیستید (مثلا نصف شب شما خواب باشید) سیمکارت شما را از شبکه تلفن همراه خارج کرده و به سیمکارت خود منتقل نموده و با آن اقدام به انتشار توییت از حساب کاربری شما نمایند. در این حالت شاید بهتر باشد که با کمک دوستان یا اقوام خارج از کشور، یک شماره تلفن خارج از ایران را به حساب کاربری توییتر خود متصل نمایید.
در نظر داشته باشید که این آسیبپذیری کنترل حساب شما را به افراد غیرمجاز واگذار نمینماید؛ آنها فقط میتوانند توییتهایی را از حساب کاربری شما منتشر نمایند. همچنین آنها با این روش توانایی بهدست آوردن کلمه عبور شما را نخواهند داشت.