تعرف أبل أنها من أكثر الشركات مصداقية عند العملاء وذلك لأنها تهتم بخدمات ما بعد البيع وخدمة العملاء بشكل كبير ونتذكر قصة المستخدم الذي راسل رئيس شركة أبل “تيم كوك” لفتح هاتفه المغلق واستجاب تيم كوك له وساعده في حل مشكلته، كما أن من ذهب إلى فروع أبل حول العالم أو أجرى اتصال هاتفي بهم يشهد بأنها خدمة عملاء فائقة الجودة وأن هدف الموظف هو إرضاء العميل بأي شكل، لكن هل تتخيل أن تكون هذه الخدمة الفائقة سبباً في اختراق حساب أحد العملاء؟ وأن أحد الهاكرز اتصل بخدمة عملاء أبل ليمكنوه من دخول حساب شخص ما وبالفعل تمكن من ذلك؟

تعرض أحد المراسلين التقنيين ويدعى ” مات هونان ” يوم الجمعة الماضي لاختراق حسابه في السحابة الذي يحميه بعبارة مرور سرية مكونة من 7 أحرف ويستخدمها لسنوات طويلة مضت، في البداية لم يعلم مات بالاختراق إلا عندما شاهد الآي فون الخاص به يغلق ثم يفتح من جديد وتظهر لك الشاشة الإعدادات الإفتتاحية، ظن مات أن هناك أمر ما خطأ في الهاتف وعندما حاول ادخال كلمة المرور الخاصة بحساب السحابة لعمل استعادة من النسخة الاحتياطية فجاءته رسالة بأن كلمة المرور خاطئة، وكرر المحاولة بلا فائدة لذا قام بتوصيل هاتفه بجهاز الماك بوك إير الخاص به لكنه فوجئ أن تطبيق iCal يظهر له رسالة خطأ أنه لا يستطيع المزامنة مع السحابة وبعد ذلك ظهرت رسالة على شاشة الحاسب تطلب منه كلمة مرور سرية مكونة من 4 أرقام ليتمكن من استخدامه ، هنا أدرك مات أن حسابه قد سرق وهناك من بدأ في التحكم بأجهزته ومسحها وأسرع إلى جهاز الآي باد الخاص به ليقوم بفصل الإنترنت عنه ليحميه لكنه فوجئ أن الآي باد أيضاً تم مسح بياناته عن طريق موقع السحابة وعندما عاد إلى حاسبه وجد أنه بدأت عمليه مسح البيانات وعمل إعادة تهئية له “فورمات” فقام بفصل التيار الكهربائي عنه وإزالة البطارية عن جهاز الماك بوك ليوقف عملية المسح.

في دقائق معدودة فقد مات جميع بياناته في الآي فون والآي باد وأيضاً حاسبه الشخصي، وظن أن هذا الأمر هو النهاية لكن كان هناك المزيد فعندما حاول من حاسب آخر فتح حسابه في جوجل وجد أنه أيضاً تم حذفه وكانت وسيلة استعادة الحساب الوحيدة هى رسالة قصيرة من هاتفه وهى غير متاحة ( الآي فون لا يعمل ) ثم فوجئ مات أن حسابه في تويتر أيضاً قد سرق وهو حساب ليس شخصي لكنه يستخدم في المدونة الشهيرة Gizmodo، وهنا علم مات ماذا حدث وهو أن أحدهم اخترق حسابه في السحابة وقام بمسح جميع الأجهزة الخاصة به عن طريق خدمة العثور على الهاتف والأجهزة وبعد ذلك قام بالوصول لحساب جوجل لأنه يربطه بالسحابة كحساب احتياطي ومن خلال السيطرة على الجيميل الخاص به قام بسرقة حساب تويتر. وعلى الفور لجأ مات إلى خدمة عملاء أبل وجاءت المفاجئة.

إذا أردت أن تقتحم بنك فلا داع للبحث طويلاً عن حيلة للدخول فقط اذهب وأطرق الباب وأطلب منهم الدخول، هذا ما حدث مع مات حيث أخبرته أبل أن حسابه لم يخترق عن طريق كلمة المرور ولكن تم ذلك عن طريق خدمة عملاء أبل حيث اتصل شخص بهم وادعى انه مات واستغل ثغرة أمنية في نظام أبل وهى أن كل البيانات المطلوبة للوصول إلى حساب شخص في أبل هو أن تعلم بريده الإلكتروني وعنوانه وأيضاً آخر 4 أرقام بالبطاقة الإئتمانية، أبل ترى أن هذه البيانات كافية وخاصة آخر 4 أرقام من البطاقة الإئتمانية لكن مواقع أخرى مثل أمازون تعتبر هذه المعلومات غير سرية وتظهرها لك على موقعها لذا فإذا تمكنت من الوصول لحساب شخص في أمازون سيعلم رقم البطاقة الإئتمانية وبالتالي يمكنك الوصول لحساباته في أبل وقد نشر مات طريقة الحصول على آخر 4 أرقام السرية من أمازون عن طريق الخطوات التالية:

  1. قم بالإتصال بأمازون وأخبرهم أنك صاحب الحساب وتريد إضافة كارت إئتماني آخر لحسابك وسوف يسألك الموظف عن اسم الحساب والبريد الإلكتروني وعنوان المراسلات وهى أمور يسهل الحصول عليها وبعد ذلك أخبر الموظف برقم الكارت الإئتماني وسوف يقوم بإضافته في حسابك.
  2. قم بالإتصال بأمازون مرة أخرى وأخبرهم أنك لا يمكنك دخول حسابك وهنا سوف يطلب منك الموظف اسمك وعنوان المراسلات ورقم الكارت الإئتماني وهنا أخبره بالرقم الذي قمت بإدخالة في الخطوة الأولي.
  3. سوف يطلب منك الموظف إدخال بريد الكتروني جديد ليرسل عليه رسالة إعادة تهيئة كلمة المرور فأدخل حاسبك الشخصي الذي تستخدمه وهنا سيمكنك من دخول حساب أمازون.
  4. من حساب أمازون تستطيع مشاهدة معلومات عن الكروت الإئتمانية المضافة وستجد الكارت الجديد الذي أضفته وأيضاً كارت صاحب الحساب الحقيقي ( مات هونان ) سيظهر لك آخر 4 ارقام في الحساب فقم بتسجيل الرقم.
  5.  اتصل بأبل وأطلب منهم دخول حسابك وسوف يسألك الموظف عن آخر 4 أرقام من الكارت الإئتماني ( الذي حصلت عليه في الخطوة رقم 4 ) وأيضاً عنوان المراسلات وأسمك فأعطهم للموظف وسيمكنك من الوصول لحسابك بنفس طريقة أمازون.
  6. من حساب السحابة قم بمسح جميع الأجهزة عن طريق خدمة العثور على الهاتف وأيضاً قم بالسيطرة على الحسابات المرتبطة بالسحابة أيضاً مثل الجيميل في حالة “مات”

قام مات بإعطاء أبل جهاز الماك بوك الخاص به ليحاولوا استعادة البيانات الخاصة به وبعد ذلك أرسل مات رسالة إلى تيم كوك يخبره بما حصل وبالفعل جاءه اتصال هاتفي من خدمة العملاء وقدموا له اعتذار وأخبروه انه تم تخصيص موظف واحد في أبل يمكنه الوصول لحسابه الشخصي من الآن وذلك لضمان السرية، لكن هذه المشكلة أوضحت خلل في منظومة أبل الأمنية فهل يعقل أنه إذا شاهد شخص ما بطاقة صديقة الإئتمانية فيستطيع بعد ذلك الإتصال بأبل ودخول حسابه؟!!! وبعد ذلك يستطيع مسح جميع أجهزته بدون أي قيود وهذا أمر غير مقبول من الناحية الأمنية ولابد أن يكون هناك كلمة مرور أخرى إضافية لتأكيد عملية المسح، وأيضاً لابد أن تضع أبل القيود للتأكد من شخصية المتصل.

لا داع للخوف والقلق فحسابات أبل لم تخترق لكنه خطأ من منظومة أبل الداخلية وموظف أبل كما أن المتصل على درجة عالية من الاحتراف مكنته ويستهدف مات ولم يتصل عبثاً. لكن من ناحية أخرى يجب على الشركات أن تضيف مزيد من أنظمة الأمان على الخدمات السحابية وخاصة أن نظام أبل الجديد وويندوز 8 يعتمدان على السحابة وحتى الأندرويد أيضاً فأصبح لا مفر من التعامل مع الخدمات السحابية لكن لابد من المزيد من القيود لكن لا يتحكم في كل أجهزتك بمجرد معرفة رقمك السري فقط.

هل ترى أن على ابل وأمازون إضافة المزيد من القيود للتأكد من شخصية المتصل؟ وهل تعتمد على خدمات السحابة إعتماد كلي؟

المصدر wired | emptyage

مقالات ذات صلة