كلمات مرور ضعيفة تهدد أمننا الرقمي

ظهر هذا الأسبوع تقرير أمني يعود إلى عام 2014 يُظهر أن كلمة المرور الخاصة بالخادم الذي يدير شبكة كاميرات المراقبة في متحف اللوفر الباريسي للفنون الذي تكبد خسائر مالية فادحة بعد نجاح فريق سرقة استهدف مجوهرات تاريخية الشهر الماضي كانت في الواقع "LOUVRE" فقط.

لكن كلمات المرور التي يمكن التنبؤ بها مثل هذه شائعة بشكل مثير للقلق.

يمكن أن يكون تسجيل الدخول إلى حسابات وسائل التواصل الاجتماعي وتطبيقات التسوق ومنصات المشتركين مهمة شاقة تجعل الكثيرين يطلقون الأجهزة عبر الغرفة في إحباط ويتساءلون عن سبب ضرورة توظيف فريق اختراق لمجرد الوصول إلى حساب شخصي.

ربما حان الوقت لاعتبار أن الطلب على تركيب 16 حرفاً من الأحرف والأرقام والرموز هو أسلوب أكثر من كونه جنوناً، والتعلم من أخطاء صانعي كلمات المرور الضعيفة الذين سبقونا.

فيما يلي بعض الأمثلة على الحوادث التكنولوجية المؤسفة والأخطاء الشائنة:

خطأ فادح في خط الأنابيب الاستعماري:

في مايو 2021، أصيب أحد أكبر أنظمة خطوط أنابيب الوقود في الولايات المتحدة بالشلل عندما أدى هجوم إلكتروني إلى توقف العمليات بشكل مفاجئ. في ذلك الوقت، قال مكتب التحقيقات الفيدرالي إن القراصنة المسؤولين عن الهجوم ينتمون إلى مجموعة إجرامية تُدعى Darkside، ويُعتقد أن مقرها في روسيا.

{{MEDIA}}

قالت شركة كولونيال بايبلاين إن شبكتها قد تم الوصول إليها عبر كلمة مرور مخترقة كانت مرتبطة بحساب شبكة افتراضية خاصة غير مستخدمة تُستخدم للوصول عن بُعد. لم يكن الحساب محميًا بطبقة إضافية من الأمان تُعرف باسم المصادقة متعددة العوامل.

ومن غير الواضح كيف حصل المهاجمون على بيانات الاعتماد المخترقة. لكن الشركة ادعت أن كلمة المرور المعنية لم يكن من السهل تخمينها، حيث قال الرئيس التنفيذي جوزيف بلونت أمام لجنة في مجلس الشيوخ الأمريكي في يونيو 2021: "لقد كانت كلمة مرور معقدة، أريد أن أكون واضحاً في ذلك. لم تكن كلمة مرور من نوع Colonial123." استمر الإغلاق حتى امتثلت الشركة لطلب الفدية، ودفعت 4.4 مليون دولار لإنهاء الهجوم.

وبحلول العام التالي، استعاد مكتب التحقيقات الفيدرالي ملايين الدولارات التي ابتزتها شركة كولونيال بايبلاين من شركة دارك سايد.

لا توجد فرصة لنسيان رمز الإطلاق النووي:

وفقًا لبروس بلير، وهو ضابط إطلاق سابق في سلاح الجو وخبير في السياسة النووية، فإن أقوى الأرقام في الفترة ما بين 1962 ومنتصف السبعينيات كانت بسيطة ثمانية أصفار.

{{MEDIA}}

في تحريف سخيف مثل إعلان الرئيس بيتر سيلرز أن غرفة الحرب مكان لا يجب أن يتقاتل فيه السادة في فيلم الكوميديا السوداء "دكتور سترانجلوف" للمخرج ستانلي كوبريك عام 1964، ادعى بلير أن ثمانية أصفار فقط كانت تفصل الولايات المتحدة عن شن هجوم نووي.

قال بلير إن "قاعدة الرجلين"، التي تتطلب وجود اثنين من أفراد الطاقم المؤهلين في موقع رمز الإطلاق، كانت تعتبر الضمانة البشرية الأساسية، لكن هذا الإجراء لم يكن موثوقًا دائمًا. فوفقًا لبلير، غالبًا ما كان العضوان المناوبان يقومان بتنظيم مناوبات نوم بديلة تترك فردًا واحدًا فقط مع كلمة مرور مباشرة وكل الطاقة.

وفي نهاية المطاف، قامت القيادة الجوية الاستراتيجية بتعديل النظام ليشمل رمز تمكين فريد من نوعه ينتقل إلى طاقم الإطلاق من سلطة أعلى. وقد أضاف هذا التغيير خطوات أمنية أخرى إلى العملية، وكما قال بلير، "لم يعد يكفي مجرد الضغط على مفتاح واحد".

جاء هذا الكشف الصادم للخبير النووي بعد عقود من اتخاذ قرار بأن مجرد الضغط على ثمانية أصفار قد يكون متساهلاً بعض الشيء عندما يتعلق الأمر ببدء حرب نووية.

شركة عمرها 158 عامًا دمرها القراصنة:

فقدت مئات الوظائف عندما أطاحت عصابة قرصنة إلكترونية بشركة نقل في شرق إنجلترا. حسبما أفادت وسائل إعلام بريطانية.

استُهدفت شركة KNP في نورثهامبتونشاير في يونيو 2023 من قبل مجموعة من القراصنة الذين تمكنوا من الوصول إلى نظام الشركة من خلال تخمين كلمة مرور أحد الموظفين. بمجرد الدخول، قام القراصنة بتشفير بيانات شركة KNP وأغلقوا أنظمتها الداخلية قبل أن يطلبوا فدية.

ونظراً لعدم قدرتهم على دفع الفدية، فُقدت بيانات الشركة وفشلت الشركة التي يبلغ عمرها 158 عاماً.

اعترف مدير شركة KNP بول أبوت أنه لم يخبر الموظف صاحب كلمة المرور الضعيفة بأن معلوماته هي التي تم اختراقها وأدت على الأرجح إلى زوال الشركة. "هل كنت ستريد أن تعرف لو كنت أنت"؟ قال أبوت.

فضيحة قرصنة الهاتف:

كان هيو غرانت، والأمير هاري وسيينا ميلر من بين النجوم الذين وقعوا ضحية القرصنة الهاتفية التي ارتكبتها الصحف الشعبية البريطانية والتي امتدت لعدة سنوات.

وقد بدأت التحقيقات الرسمية بعد شكاوى من أن المعلومات الشخصية التي لا تُنشر إلا في العوالم الخاصة كانت تُنشر بشكل روتيني على الصفحات الأولى للصحف الوطنية، مما تسبب في إزعاج وتعريض سلامة المستهدفين للخطر.

ووجدت التحقيقات أن البريد الصوتي للشخصيات العامة تم اختراقه من قبل الصحفيين والمحققين الخاصين الذين وظفتهم المطبوعات الذين عملوا على افتراض أن قلة من الناس قاموا بتغيير رمز الوصول الافتراضي للبريد الصوتي الذي يأتي به هاتفهم. تم استخدام تركيبات بسيطة مثل 1111 و 444444 و 1234 للوصول إلى الرسائل التي تنتظر في صندوق البريد الصوتي.

وقد أدت فضيحة القرصنة الهاتفية في المملكة المتحدة إلى إغلاق صحيفة نيوز أوف ذا وورلد في عام 2011، تلاها تحقيق في ممارسات وأخلاقيات الصحافة البريطانية.

قرصانة سابقة أصبحت الآن زعيمة حزب معارض:

بصفتها رئيسة للمعارضة، تقضي زعيمة حزب المحافظين البريطاني كيمي بادينوخ الكثير من الوقت في انتقاد الحكومة البريطانية الحالية. لكن سجلها ليس نظيفًا تمامًا.

ففي عام 2018، اعترفت السياسية باختراق الموقع الإلكتروني الرسمي للنائبة العمالية هارييت هارمان قبل عقد من الزمن وتغيير محتواه ليكون مؤيدًا للمحافظين.

لكن هذه لم تكن جريمة مدبرة كلمة المرور المطلوبة لتعديل موقع هارمان كانت بالفعل "هارييت هارمان".

وقد اعتذرت بادنوخ، التي لم تكن نائبة في وقت الاختراق، منذ ذلك الحين عما وصفته بـ "مزحة حمقاء".

البيانات الشخصية لملايين الناخبين البريطانيين عرضة للاختراق:

من أغسطس 2021 حتى 2022، تمكن المهاجمون الإلكترونيون من الوصول إلى أجهزة الكمبيوتر التي تحتوي على السجلات الانتخابية قوائم بأسماء وعناوين ملايين الناخبين في جميع أنحاء المملكة المتحدة، حسبما اكتشفت هيئة مراقبة خصوصية البيانات في البلاد.

{{MEDIA}}

وقال تحقيق أجراه مكتب مفوض المعلومات (ICO) إن القراصنة تمكنوا من الوصول إلى النظام عن طريق تقليد حساب مستخدم شرعي. وقرر مكتب ICO أن هذا ممكن بسبب عدم اتخاذ التدابير الأمنية المناسبة باستمرار.

لم يتم تثبيت البرامج المصممة لإصلاح الثغرات الأمنية، وفشلت الشركة في تطبيق سياسة تضمن استخدام الموظفين لكلمات مرور آمنة. أثناء التحقيقات، وجدت منظمة ICO 178 حساب بريد إلكتروني نشطًا يستخدم كلمات مرور مطابقة أو مشابهة لتلك التي وضعها مكتب تكنولوجيا المعلومات في المؤسسة عند تفعيل الحساب.

تم توبيخ اللجنة الانتخابية رسميًا بسبب إهمالها. لم يتم الإبلاغ عن أي دليل على إساءة استخدام البيانات.