حقائق رئيسية
- كشفت الأبحاث عن أكثر من 700 نقطة نهاية ترسل رسائل المصادقة عبر الرسائل النصية لأكثر من 175 خدمة مختلفة.
- يسمح هذا التعرض للمحتالين بالوصول إلى حسابات المستخدمين الآخرين عن طريق تخمين رموز الأمان في عناوين URL وزيادتها.
- يكشف هذا العيب عن معلومات شخصية حساسة، بما في ذلك التفاصيل من طلبات التأمين غير المكتملة.
- تؤثر هذه الممارسة على نطاق واسع من الخدمات، من إعلانات الوظائف وعروض التأمين إلى منصات رعاية الحيوانات الأليفة والتدريس.
- حتى الخدمات المعروفة التي تضم ملايين المستخدمين من بين تلك التي تكشف البيانات الحساسة بهذه الطريقة.
الخطر الخفي في صندوق الوارد
رسالة النصية تلك التي تحتوي على رابط لتسجيل الدخول إلى حسابك قد تكون أكثر خطورة مما تبدو عليه. الممارسة الأمنية الشائعة المصممة للتخلص من عناء تذكر كلمات المرور، تضع الآن ملايين الأشخاص في خطر الاحتيال وسرقة الهوية.
كشفت الأبحاث الحديثة عن عيب حرج في طريقة مصادقة العديد من الخدمات للمستخدمين. بدلاً من أسماء المستخدمين وكلمات المرور التقليدية، ترسل هذه المنصات رابطًا أو رمزًا عبر الرسائل النصية. بينما كان الهدف هو الراحة، فإن هذه الطريقة تخلق ضعفًا كبيرًا يتم استغلاله على نطاق واسع.
عيب في النظام
الدراسة المنشورة الأسبوع الماضي تكشف أن المشكلة ليست محصورة في شركة واحدة. فقد حدد الباحثون أكثر من 700 نقطة نهاية ترسل رسائل المصادقة هذه نيابة عن أكثر من 175 خدمة. تغطي هذه الخدمات مجالات صناعية متنوعة، من عروض التأمين وإعلانات الوظائف إلى إحالات رعاية الحيوانات الأليفة والتدريس.
يكمن جوهر المشكلة في الطبيعة المتوقعة للروابط المرسلة للمستخدمين. لمنح الوصول، ترسل الخدمات عنوان URL فريدًا يحتوي على رمز أمان. ومع ذلك، غالبًا ما تكون هذه الرموز قابلة للعد. وهذا يعني أن المحتال يمكنه تخمين رابط صالح عن طريق تعديل الرمز ببساطة.
على سبيل المثال، إذا تلقى المستخدم رابطًا يحتوي على الرمز 123، يمكن للمحتال تجربة 124، 125، وهكذا. عن طريق زيادة الرمز، يمكنهم الوصول إلى حسابات تخص مستخدمين آخرين دون الحاجة إلى كلمة مرور على الإطلاق.
التكلفة البشرية للراحة
عواقب هذا التعرض تمتد أبعد من مجرد اختراق أمني بسيط. عندما يحصل المحتال على الوصول إلى حساب، يمكنه عرض مجموعة واسعة من المعلومات الشخصية. أظهرت الدراسة أن هذا يمكن أن يشمل طلبات التأمين غير المكتملة، التي تحتوي على بيانات حساسة مثل التاريخ الطبي والتفاصيل المالية.
هذا التعرض يترك المستخدمين عرضة لمجموعة من الجرائم. مسلحًا بالمعلومات الشخصية، يمكن للمتلاعبين ارتكاب سرقة الهوية حتى الخدمات التي تضم ملايين المستخدمين ليست معفاة. تشير الدراسة إلى أن المنصات المعروفة من بين تلك التي تكشف البيانات الحساسة، مما يبرز فشلًا مؤسسيًا في بروتوكولات الأمن عبر المشهد الرقمي.
لماذا يهم هذا الآن
تؤكد هذه الأبحاث على تحول حرج في المشهد الأمني الرقمي. بينما تتنافس الشركات لتبسيط تجربة المستخدم، فإنها تتداول بشكل غير مقصود الأمان مقابل الراحة. الاعتماد على الرسائل النصية كقناة آمنة هو بشكل أساسي معيب، حيث أن الرسائل النصية غير مشفرة ويمكن اعتراضها أو في هذه الحالة، تخمينها.
حجم المشكلة كبير. مع وجود مئات الخدمات و آلاف نقاط النهاية المشاركة، فإن مجموعة المستخدمين المتأثرين المحتملة ضخمة. هذا ليس مشكلة متخصصة تؤثر على عدد قليل من الأفراد الماهرين في التكنولوجيا؛ بل هو تهديد واسع النطاق لأي شخص قام بالتسجيل في خدمة باستخدام رقم هاتفه.
تخدم النتائج كتذكير صارخ بأن تدابير الأمن يجب أن تكون قوية ومستقبلية. الطريقة التي تبدو آمنة على السطح يمكن أن تخزن نقاط ضعف حرجة يتم استغلالها بسهولة من قبل أولئك الذين لديهم نية إجرامية.
الاستنتاجات الرئيسية للمستخدمين
بينما تقع مسؤولية إصلاح هذه العيوب على عاتق مقدمي الخدمات، يمكن للمستخدمين اتخاذ خطوات لحماية أنفسهم. من الضروري أن يكونوا متيقظين بشأن الروابط التي يضغطون عليها، حتى لو بدت وكأنها قادمة من خدمة شرعية.
فكر في استخدام الخدمات التي تقدم طرق مصادقة متعددة العوامل أكثر أمانًا، مثل تطبيقات المصادقة أو مفاتيح الأمان المادية، التي تكون أقل عرضة لعمليات العد هذه. كن حذرًا دائمًا بشأن المعلومات الشخصية التي تقدمها عند التسجيل في حسابات جديدة.
في النهاية، تسلط هذه الأبحاث الضوء على الحاجة إلى مزيد من الشفافية والأمان في الأدوات التي نستخدمها يوميًا. مع تزايد دمج الخدمات الرقمية في حياتنا، فإن ضمان أمانها الأساسي أمر بالغ الأهمية.
أسئلة شائعة
ما هو العيب الأمني في روابط تسجيل الدخول عبر الرسائل النصية؟
يكمن العيب الأمني في الطبيعة المتوقعة للروابط المرسلة عبر الرسائل النصية. يمكن تخمين رموز الأمان داخل عناوين URL هذه بسهولة عن طريق زيادة قيمها، مما يسمح بالوصول غير المصرح به إلى حسابات المستخدمين الآخرين.
ما هي أنواع الخدمات المتأثرة؟
المشكلة منتشرة عبر مختلف المجالات الصناعية. وجد الباحثون التعرض في الخدمات التي تقدم عروض التأمين وإعلانات الوظائف وإحالات رعاية الحيوانات الأليفة وخدمات التدريس، من بين أخرى.
ما هي المعلومات المعرضة للخطر؟
تفاصيل المستخدمين الشخصية في خطر كبير. بمجرد حصول المحتال على الوصول إلى حساب، يمكنه عرض معلومات حساسة مثل طلبات التأمين غير المكتملة والبيانات الخاصة الأخرى المخزنة على المنصة.
كيف يمكن للمستخدمين حماية أنفسهم؟
يجب على المستخدمين توخي الحذر بشأن النقر على الروابط في رسائل الرسائل النصية، حتى من الخدمات المألوفة. عندما يكون ذلك ممكنًا، اختر طرق مصادقة أكثر أمانًا مثل تطبيقات المصادقة أو المفاتيح المادية، وكن حذرًا بشأن المعلومات الشخصية المشتركة أثناء التسجيل.
