Sorry, you need to enable JavaScript to visit this website.

مخزن في "الإنترنت المُظْلِم" يعرض بيع 620 مليون حساب شبكيّ مسروق

مئات ملايين البيانات مسروقة من "دابس ماش"، "ماي فيتنس"، "ماي هيرتيج" وغيرها من المواقع التي لم يكن معروفاً أنها اختُرِقَتْ، وظهرت في قوائم "السوق الحلم"

قوائم بيانات سطا عليها الـ"هاكرز" وعرضوها في "دريم ماركت" في الإنترنت المظلم (الإندبندنت)

عرض مجرمو الإنترنت 617 مليون حساب مسروق للبيع، في أسواق "الإنترنت المُظلِم" Dark Internet. وتبيّن أن الحسابات متأتية من 16 اختراقاً منفصلاً.

وظهرت قوائم بتلك الحسابات على السوق الرقمي "دريم ماركت" Dream Market، معناها حرفيّاً "السوق الحُلم". وعُرِضَتْ إلى جانب المخدرات والسلاح وسلع غير شرعيّة أخرى.

وضمّت قوائم المواقع الشبكيّة المخترقة التي سُرِقَت منها تلك الحسابات، "ماي فتنس بال" Myfitness Pal، "ماي هيريتج" MyHeritage و"آنيموتو" Animoto، ولم يكن معروفاً أنها اخترقت، بمعنى أنّ الاختراق جرى "خلسة" ومن دون أن تشعر به تلك المواقع.

هناك مواقع أخرى مثل شبكة التصوير "500 بي إكس" 500px لم تبلّغ إطلاقاً عن تعرّضها للاختراق.

وتضمّ البيانات المسروقة حسابات بريد إلكتروني، وكلمات مرور وغيرها من التفاصيل الشخصيّة.

وظهرت الأخبار عن تلك القوائم المعروضة في "السوق الحُلم" للمرّة الأولى، في الموقع الإلكتروني "زي ريجستر" The Register، وبعدها، أكّدته صحيفة الاندبندنت.

وتُعرض تلك المجموعات من البيانات في قوائم في سوق "الإنترنت المُظلِم" الذي يحظى بشعبية واسعة، وتُباع بصورة فرديّة بواسطة الشخص الذي يتولى عرضها. ويُشار إلى ذلك البائع بمصطلح "اللاعب المُعرَّفْ"، وقد انضَّمَ إلى "دريم ماركت" في 6 فبراير (شباط) الجاري، ويحظى حاضراً بتصنيف 5 نجوم، على الرغم من أنّ ذلك جاء من مشترٍ وحيد.

ويرد في الملف الشخصي للاعب المُعرَّف ما يلي: "بوسعك أن تراسلني بحريّة عبر "السوق الحلم"، كي تخبرني عن نوع المعلومات التي تبحث عنها (ألعاب، تشفير، مجموعات من البيانات الضخمة...)، وسأصنع قائمة بها على هذا الموقع، كي تصبح جاهزة للبيع... ولأني أملك احتياطاً واسعاً من المعلومات الحديثة، فلربما يكون عندي ما تبحث عنه. إذا لم تتوافق البيانات مع مواصفات الاختراق، بإمكانك رفع إشكالية ضمان. في المقابل، أنصحك أن تقرأ بتمعن القوائم التي تصف البيانات التي ستحصل عليها، لأن شراءك لها يعني أنك توافق على أن تصلك تلك البيانات الموصوفة في القوائم".

وحذّر خبراء في أمن الشبكات أن حجم الاختراقات التي جاءت منها القوائم المعروضة، كفيل بأن يغيّر مشاعر الناس حيال الأمن الإلكتروني، خصوصاً أن عدداً كبيراً منها جاء من مواقع لم تُعلن أبداً أنها تعرضّت للاختراق وسرقة البيانات.

"لم تُبلّغ مجموعة من المواقع الشبكيّة عن تعرضّها إلى هجمات، ما يشير إلى أنها لم تشعر أصلاً بأنها اختُرِقَتْ وأن بياناتها سُرِقَتْ، وتالياً تكون عرضة لسقوط مريع أمام المعايير التي أقرّها "الاتحاد الأوروبي" في 2018 إلزامياً في شأن حماية بيانات الجمهور، مع إمكان فرض غرامات ضخمة عليها. أيّاً كان الأمر، فإنه يثير مخاوف الجمهور الذي يتحمّل في نهاية المطاف، عبء الهجمات وتأثيراتها"، وفق تصريح أدلى به إيلكا تورينن، مدير القسم الدولي في شركة برمجيات الكومبيوتر "سوناتايب" Sonatype، إلى الاندبندنت.

"يضاف إلى ذلك حقيقة أنّ بعض الهجمات كان ممكناً تداركه. إذ أورد الـ "هاكرز" أنهم استفادوا من ثغرات أمنيّة في تطبيقات وتشفيرات شبكية. ومن وجهة نظر صناعة البرمجيات، كان ممكناً بسهولة إغلاق تلك الثغرات. وعلى الرغم من ذلك، ترفض الشركات فعل ذلك... ومع زيادة وعي الجمهور، يصبح المستخدمون أقل تسامحاً حيال الشركات التي تفشل في تنفيذ إجراءات أمنيّة مناسبة لحماية بيانات الجمهور، على الرغم من توافر أدوات لفعل ذلك"، وفق تورينن.

أعرب خبراء آخرون عن قناعتهم بوجوب أن يتحوّط الناس من احتمال سرقة حساباتهم في تلك المواقع التي سُرِقَت البيانات منها، حتى لو كانوا قد توقفوا عن الاستفادة من خدماتها.

كذلك يؤدي الميل إلى تكرار استخدام عنوان البريد الإلكتروني نفسه وكلمات المرور نفسها، في منصّات ومواقع مختلفة، إلى تمكين الـ "هاكرز" من استعمالها في الحصول على بيانات من تلك المواقع كلها، بمجرد سطوهم عليها من أحد المواقع.

وينصح غافين ميلارد، الذي يعمل في شركة "تينابل" Tenable للأمن المعلوماتي، بالتثبت من اختراق حساب بريدهم الإلكتروني، عبر الاستفادة من خدمات موقع "هاف آي بين باوند" Have I Been Pwned في ذلك الشأن. ويشتهر ذلك الموقع بأنه يجمع معلومات عن عمليات الاختراق الكبرى على الإنترنت.

"بديهي القول إنّ الطريقة الأفضل لتجنَّبْ الهجمات المختصة بسرقة البيانات، تتمثّل في صنع توافق متميّز بين كلمة المرور وعنوان البريد الإلكتروني، في كل موقع على حدة"، وفق ما صرّح به ميلارد إلى الاندبندنت.

وأضاف: "إنّ فعل ذلك بطريقة يدويّة هو أمر مستعصٍ، إذ تتمثّل الممارسة الصحيحة باللجوء إلى خدمة "مدير كلمات المرور" التي تستطيع صنع كلمات مرور معقّدة وتخزينها، بل إنها تنبّه المستخدم إلى كلمات المرور المستهلكة التي جرى السطو عليها في عمليات السطو الإلكتروني".

© The Independent

المزيد من علوم