كيف اعترضت شركة صغيرة رموز التحقق الثنائي السرية؟

في كلّ يوم، يسجل الملايين دخولهم إلى بريدهم الإلكتروني أو تطبيقاتهم المصرفية أو حساباتهم على مواقع التواصل الاجتماعي بواسطة كلمات مرور أو رموز دخول مؤقتة يتلقّونها عبر رسائل نصية، وغالباً ما تُرفق بتحذير "لا تشارك هذا الرمز مع أحد". غير أن المتلقّين لا يعرفون على الأرجح من اطّلع على هذه الرسالة قبل وصولها إليهم.

إن الشركات التي تصدر ما يُعرف برموز التحقق الثنائي عادةً لا ترسلها مباشرةً بل توكِل المهمة إلى جهات خارجية تمرّ عبرها الرسائل ضمن شبكة معقدة من الوسطاء قبل أن تصل إلى وجهتها. ونظراً للثغرات البنيوية التي تعتري تقنية الرسائل النصية القصيرة (SMS)، التي مضى على تطويرها عقود، يمكن لبعض الجهات التي تتعامل مع هذه الرسائل أن تطّلع على محتواها أثناء مرورها عبر الشبكة. لكن تعقيد النظام يجعل من المستحيل على المُرسِل أو المتلقي معرفة الأطراف المحددة التي تعاملت مع الرسائل أثناء عبورها.

شركةغامضة تعترض الرسائل
زود عامل في القطاع يسعى لفضح مخالفاتٍ بلومبرغ بزنيس ويك وغرفة الأخبار الاستقصائية "لايتهاوس ريبورتس" (Lighthouse Reports) ببيانات سرّية تتعلّق بشبكات الاتصالات، تشمل نحو مليون رسالة نصية تحمل رموز التحقق الثنائي، أُرسلت في يونيو 2023.

تُظهر البيانات أن جميع تلك الرسائل مرّت عبر شركة سويسرية غامضة تُدعى "فينك تيليكوم سيرفيسز" (Fink Telecom Services)، سبق أن تعاونت ومؤسسها مع وكالات تجسس حكومية ومتعهدين في قطاع المراقبة، لتتبع هواتف محمولة وتحديد مواقع المستخدمين. وكان باحثون في الأمن السيبراني وصحفيون استقصائيون اتهموا الشركة بالتورط في اختراق حسابات إلكترونية خاصة في عدة مناسبات.

وتشمل البيانات رسائل تحمل رموز دخول أُنشئت تلقائياً، إلى جانب المسارات التي سلكتها الرسائل في طريقها إلى المستخدمين. أما الجهات المُرسِلة فتضم شركات مثل "جوجل"، و"ميتا"، و"أمازون"، إضافة إلى عدد من المصارف الأوروبية، وتطبيقات شهيرة مثل "تيندر" و"سناب شات"، ومنصة تداول العملات المشفّرة "بينانس"، وتطبيقات التراسل المشفّر "سيغنال" و"واتساب". وقد وُجّهت هذه الرسائل إلى مستخدمين في أكثر من 100 دولة عبر خمس قارات.

طلب الشخص الذي سرّب هذه البيانات عدم كشف هويته خشية تعرضه لإجراءات ضده. وقد تحقّقت بلومبرغ بزنيس ويك من صحة السجلات عبر مراجعتها مع خبراء مستقلين، ومقارنتها بجوانب من بيانات أخرى متاحة للعموم.

وبالنظر إلى ما يُثار من شبهات حول تورّط الشركة في خروقات أمنية، يرى الخبير في الخصوصية الرقمية، بات وولش، أن استمرار "فينك تيليكوم" في الوصول إلى هذا النوع من الرسائل "يقدم مثالاً صادماً يُبرز ضرورة توقف الشركات عن إرسال رموز الدخول والتحقق عبر الرسائل النصية... إن شركات التقنية لا تدقق بما يكفي في سلاسل التوريد لديها".

من جانبه، قال أندرياس فينك، الرئيس التنفيذي لشركة “فينك تيليكوم" في ردوده على بزنيس ويك عبر البريد الإلكتروني إن القيود القانونية تمنع شركته من الاطلاع على محتوى الرسائل التي تعالجها. وأضاف: "نحن نقدّم خدمات بنية تحتية وتقنية تشمل قدرات التوجيه والإشارة، ولا نتدخّل أو نحلّل حركة البيانات التي يرسلها عملاؤنا أو شركاؤهم المتلقون". وأكد أن شركته لم تعد تمارس أي أنشطة في مجال المراقبة.

تأجير العناوين العالمية
توفّر شركات وسيطة مثل "فينك تيليكوم" طرقاً أكثر كفاءة وأقل كلفة لتوصيل الرسائل النصية، عبر تطوير تقنيات خاصة وإبرام اتفاقيات مع عدد كبير من مزوّدي خدمات الاتصالات حول العالم. بيّن نيك لاين، مؤسس شركة الأبحاث "موبايلزكوارد" (Mobilesquared)، تجاوزت قيمة هذا القطاع 30 مليار دولار في 2024. ويتنافس فيه لاعبون كبار، بينهم شركات مدرجة في البورصة، إلى جانب شركات أصغر وأكثر غموضاً. وأحياناً تلجأ الشركات الكبرى إلى التعاقد مع الشركات الأصغر، التي توفّر أسعاراً أفضل لإرسال الرسائل إلى بلدان معينة، أو قد تُحيل المهمة إلى طبقة أخرى من الشركات.

هذا النظام المعقّد يوفّر على الشركات المرسلة الوقت والمال، لكن يرى بعض خبراء الأمن السيبراني أن هذا النموذج يتهاون بطبيعته مع المخاطر، نظراً لإمكانية استغلال الرسائل في حال وقوعها في الأيدي الخطأ من أجل اختراق حسابات البريد الإلكتروني أو الرسائل الخاصة.

حذّر جان غوتشالك، المستشار الأمني الرئيسي في شركة "تيليكوم ديفنس" (Telecom Defense) من أن غياب الرقابة يزيد المخاطر، وقال: "لا شيء يمنع أي جهة من دخول هذا المجال، ولا حاجة لأي ترخيص لمزاولة النشاط... بإمكان أي شركة أن تبدأ سريعاً في معالجة مليارات الرسائل".

أسّس أندرياس فينك شركته عام 2016، بعدما عمل مهندساً ميدانياً في شركة "سيسكو سيستمز" (Cisco Systems). ورغم أن عدد موظفيها لا يتجاوز العشرة، تمكّنت من إبرام صفقات مع متعهدي خدمات حكومية مهتمّين بتقنيات المراقبة بمختلف أشكالها.

وعند سؤاله عمّا إذا كانت رموز التحقق الثنائي قد مرّت عبر شبكة شركته، قال فينك إنه لا يستطيع تأكيد ذلك أو نفيه. ولدى إطلاعه على عيّنة من البيانات التي راجعتها بلومبرغ بزنيس ويك، رفض التحقّق منها، مشيراً إلى أنه ربما "كان الحصول عليها بطريقة غير قانونية أو أنها تعرضت لتلاعب".

يرتكز جانب أساسي من أعمال "فينك تيليكوم" على العقود التي تبرمها مع مشغّلي شبكات الهاتف المحمول الدوليين للحصول على ما يُسمى "العناوين العالمية"، وهي بمثابة أرقام خاصة تُستخدم بين شركات الاتصالات، وتتيح لحاملها إرسال رسائل إلى شبكات هاتف محمول في دول أخرى. وإلى جانب استخدام شركات الاتصال لهذه العناوين في عملياتها الخاصة، يمكن أن تؤجّرها أيضاً لشركات مثل "فينك"، ما يتيح لها تحقيق إيرادات إضافية.

وبحسب البيانات التي اطّلعت عليها بلومبرغ بزنيس ويك، ملكت "فينك تيليكوم" أو استأجرت عناوين عالمية من شركات اتصالات في سويسرا والمملكة المتحدة وناميبيا والشيشان الروسية. وقد رفض فينك التعليق على تفاصيل هذه العقود، مكتفياً بالقول إن هذه الممارسات تندرج ضمن "نموذج متعارف عليه ومقبول في القطاع".

اختراق حسابات في إسرائيل
وصف الأمر بالمتعارف عليه والمقبول قد يكون مبالغاً فيه. أصدرت الجمعية الدولية لشبكات الهاتف المحمول (GSMA) في 2023 مدوّنة سلوك دعت فيها إلى تجنّب تأجير "العناوين العالمية والبحث أولاً عن بدائل أخرى تلبي الاحتياجات التجارية المشروعة". لكن الالتزام بتلك المدونة يبقى اختيارياً، وبالتالي تستمر تجارة العناوين العالمية المستأجرة في عدة أماكن حول العالم. في أبريل، فرضت هيئة ناظمة في المملكة المتحدة حظراً على هذه الممارسة، محذّرة من أنها تُستغل بشكل متزايد وقد تمكّن جهات إجرامية من اعتراض رموز الأمان.

واتهم خبراء في الأمن السيبراني "فينك" بالتورط في عدد من الحوادث التي اعتُرضت فيها رموز تحقق أُرسلت عبر رسائل نصية، واستُخدمت لاختراق حسابات شخصية. في عام 2020، حقق زاك غانوت، الذي كان يدير آنذاك شركة "باندورا سيكورتي" (Pandora Security) المتخصصة بالأمن السيبراني في تل أبيب، تحقيقاً في سلسلة هجمات استهدفت مستثمرين في العملات المشفّرة، تمكّن خلالها أحد القراصنة من الوصول إلى رموز التحقق من أجل اقتحام البريد الالكتروني والمحفظات الرقمية لنحو عشرين إسرائيلياً.

وبالتعاون مع شركة اتصالات إسرائيلية، توصّل غانوت إلى أن عنواناً عالمياً مسجلاً باسم "إس إم إس ريلاي" (SMSRelay)، وهي شركة أسّسها فينك أيضاً، تلاعب بحركة الاتصالات داخل إسرائيل، ما أتاح اعتراض رموز الدخول الخاصة بالمستثمرين. أبلغ غانوت السلطات السويسرية بنتائج التحقيق، لكنه يقول إنه لم يتلقَّ أي متابعة.

نفى أندرياس فينك أي تورط في حوادث الاختراق، مؤكداً أن شركة "إس إم إس ريلاي" أوقفت نشاطها منذ 2016 وفُككت بنيتها التحتية بالكامل. لكن وفقاً للبيانات التي اطلعت عليها بلومبرغ بزنيس ويك، ظلت عناوين عالمية مسجّلة باسمها نشطة حتى 2023. وأكد فينك أن أي استخدام غير مشروع لتلك العناوين "لم يصدر عنّا".

وفي واقعة منفصلة في 2023، نشرت صحيفة "هآرتس" الإسرائيلية تحقيقاً حول مجموعة "تيم خورخيه" (Team Jorge)، وهي شبكة قراصنة مأجورين تتيح للحكومات التلاعب سراً بوسائل التواصل الاجتماعي واعتراض الرسائل الإلكترونية، بما في ذلك رسائل "تليغرام" واتصالات رقمية أخرى.

نقلت الصحيفة أن شركة "فينك تيليكوم" ساعدت المجموعة على الوصول إلى شبكات الهاتف المحمول للتجسّس على المستخدمين. إلا أن فينك نفى وجود أي علاقة تربطه بـ"تيم خورخيه"، موضحاً أن شركة كان يتعامل معها "قدّمت خدمات بشكل غير مباشر لتلك المجموعة"، وأنه قطع علاقته بها لاحقاً.

يضيء الشرح الذي قدمه فينك على ثغرة أخرى في القطاع، حيث تقوّض طبقات التعاقد المتداخلة شفافية عملية نقل الرسائل. إذ تعمل "فينك" أساساً كمقاول من الباطن، دون أي علاقة مباشرة مع الشركات التي تولّد الرسائل الأصلية، ما يعني أن هذه الشركات لا تقدر أن تتوقف عن التعامل معها حتى لو شاءت ذلك.

بدائل عن الرسائل النصية
قالت شركات "جوجل" و"ميتا" و"سيغنال" و"بينانس" في بيانات رسمية إنها لا تتعامل مباشرة مع "فينك تيليكوم". وأوضح متحدّث باسم "جوجل" أن "كثيراً من التحديات ومشكلات الأمان" تصاحب الرسائل النصية القصيرة، مشيراً إلى أن الشركة بدأت تتوجه تدريجياً نحو الاستغناء عنها في توثيق الحسابات.

أما "سيغنال"، فأشار متحدث باسمها إلى إلى أنها توفّر إجراءات حماية إضافية للحد من ثغرات الرسائل النصية، منها ميزة تطلب إدخال رقم تعريف شخصي (PIN) إلى جانب الرمز المُرسل عبر الرسائل النصية القصيرة عند محاولة إعادة تسجيل الحساب على جهاز جديد.

قال متحدث باسم "ميتا بلاتفورمز" إنها ذكّرت شركاءها بالتزاماتهم التعاقدية لضمان الخصوصية والأمان في توصيل الرسائل النصية إلى مستخدميها، وأبلغتهم بضرورة الامتناع عن التعاقد مع "فينك تيليكوم" أو التعامل معها عند تقديم أي خدمات لـ"ميتا" أو الشركات التابعة لها. ولم تستجب "أمازون"، و"سناب شات"، و"تيندر" لطلبات التعليق.

الثغرات الأمنية المرتبطة باستخدام الرسائل النصية القصيرة (SMS) موثّقة على نطاق واسع، ما دفع بعض الشركات إلى تشجيع المستخدمين على اعتماد بدائل أكثر أماناً. توصي إيفا غالبرين، مديرة الأمن السيبراني في مؤسسة "الكترونيك فرونتير فاوندشن" (Electronic Frontier Foundation) باستخدام وسائل تحقق بديلة، مثل القياسات البيومترية أو تطبيقات توثيق مخصصة تولّد رموز الدخول مباشرة على جهاز المستخدم بدلاً من إرسالها عبر شبكات اتصالات غير آمنة.

أعلنت "جوجل" في فبراير، أن خدمة "جي ميل" ستتخلّى عن استخدام الرسائل النصية في عمليات التحقق الأمني ومكافحة الرسائل المزعجة، وستعتمد بدلاً من ذلك على استخدام رموز (QR) لتسجيل الدخول.

من جهته، أقرّ أندرياس فينك بوجود ثغرات أمنية، لكنه حمّل المسؤولية للجهات التي تولّد رموز التحقق الثنائي ثم تعتمد على تقنية نقل غير آمنة مثل الرسائل النصية. وكتب: "إذا اختارت الشركات إرسال معلومات حساسة عبر رسائل (SMS) بلا أمان، فإنها تتحمّل بذلك مخاطرة معروفة مسبقاً".