قد يختفي في أي لحظة: «تويتر» يتآمر عليك وعلى رئيس أمريكا
قبل أشهر قليلة، بدا أن موقع «تويتر» للتدوينات القصيرة قاب قوسين أو أدنى من الانتقال إلى ملكية أغنى رجل في العالم، إيلون ماسك، بصفقة قدرت بـ44 مليار دولار. لكن المصائب توالت على إدارة المنصة منذ ذلك الحين، بداية من الخلافات مع ماسك نفسه، وصولًا إلى 200 صفحة من التسريبات التي نشرها مسؤول الأمن السيبراني السابق في «تويتر»، بييتر زاتكو، ليؤكد أن المنصة قد تختفي من الإنترنت في أي لحظة، وأنها تتغافل عن تسريب بياناتك- وبيانات الرئيس الأمريكي نفسه- إلى استخبارات أجنبية.
الطريف هنا أن كل هذا قد يبدأ بآخر ما يمكن أن تتخيله من موقع عملاق بهذا الحجم: «تويتر» يعتمد على مراكز تخزين بيانات منتهية الصلاحية، بينما يستخدم بعض الموظفين برمجيات تجسس تسمح لطرف ثالث بالدخول إلى بيانات أجهزة الحاسوب لديهم.
صافرة إنذار
في يوليو/ تموز 2020، تعرض «تويتر» لما وُصف بأخطر عملية اختراق في تاريخ منصات التواصل الاجتماعي، عندما تمكنت جهة غير معلومة من اختراق العشرات من الحسابات الموثقة البارزة، بينهم الرئيس الأمريكى السابق باراك أوباما، ومرشح الحزب الديمقراطي للرئاسة جو بايدن، ومؤسس «مايكروسوفت» بيل جيتس، ومالك شركة «تسلا» إيلون ماسك، ورئيس «أمازون» جيف بيزوس، والنجمة كيم كاردشيان، وعدد من أكبر الشركات الأمريكية، بينها «آبل» و«أوبر»، بما أثار مخاوف من مدى تأمين المنصة، وقدرتها على التعامل مع الفوضى التي كانت مرتقبة في انتخابات الرئاسة الأمريكية التالية.
حينها، قالت «تويتر» إن المخترقين نجحوا في استهداف موظفين يملكون القدرة على الوصول إلى شبكاتها الداخلية، بما منحهم سيطرة على مؤقتة على حسابات موثقة، ونشر تغريدات باسم ملاكها. لم تعط تفاصيل كافية حول كيفية حدوث ذلك، لكنها تعهدت الشركة بإجراء مزيد من إجراءات التدقيق.
بحلول نوفمبر التالي، عين «تويتر» الهاكر الشهير بيتر زاتكو رئيسًا لقطاع الأمن السيبراني؛ مع سلطة واسعة في تقديم التوصيات المطلوبة لإجراء تغييرات مهمة في هيكل أمن الشركة وممارساتها.
كان يفترض أن يكون مثل هذا الاختيار ضمانة كبرى؛ فـ«زاتكو» خبير أمن سيبراني مرموق، يحظى باحترام كبير، ولديه خبرة جمعها من المناصب العليا التي شغلها في «جوجل»، وأمن المدفوعات الإلكترونية في يونيكورن سترايب، وغيرهما من كبريات شركات التكنولوجيا الأمريكية، وحتى وزارة الدفاع التي ائتمنته على إدارة أحد أهم برامج الأمن السيبراني لديها: وكالة مشاريع الأبحاث الدفاعية المتقدمة (DAPRA) وهي وكالة بحث وتطوير تابعة للبنتاجون مسؤولة عن تطوير التقنيات الناشئة للاستخدام العسكري.
لكن زاتكو نفسه كان سببًا في أصعب مشكلات الشركة؛ إذ تعرض للفصل في يناير/ كانون الثاني 2022 لما قالت الشركة، إنه «قيادة غير فعالة وضعف في الأداء»، ليصمت قليلًا، ثم يعلن صافرة إنذاره في أغسطس/ آب، زاعمًا في تقرير من 200 صفحة أنه كشف للإدارة تفاصيل حول غياب أهم عناصر أمن المعلومات عن المنصة، دون أن يضعوا مخاوفه في الحسبان.
نصف موظفي «تويتر» بإمكانهم إدارة حسابك
أحد أهم مزاعم زاتكو ركزت على أن بيانات «تويتر» ليست آمنة. يقول التقرير إن الشركة تسمح بشكل روتيني لآلاف الموظفين، الذين يمثلون نصف قوتها العاملة تقريبًا وجميع مهندسيها، بالعمل مباشرة على منتج «تويتر» المباشر، والتفاعل مع بيانات المستخدم الحقيقية، في خروج ضخم عن المعايير المتبعة في الشركات المنافسة، مثل «ميتا» و«جوجل»، التي تجبر مطوريها على استخدام بيانات وهمية واستخدام أدوات الترميز في برمجيات متخصصة لا تكشف هويات المستخدمين الحقيقية.
هذه المعلومة البسيطة كفيلة بعدد هائل مجموعة من المشكلات الأمنية، أبسطها أن نصف موظفي «تويتر» وكل مهندسيه يملكون التجسس بأريحية على معلومات المستخدمين، وأن نجاح أحدهم في اختراق جهاز كمبيوتر أحد موظفي المنصة يمنحه إمكانية الوصول إلى أنظمة «تويتر». يضيف زاتكو أن إدارة «تويتر» علمت أن بعض موظفيها قاموا عن قصد بتثبيت برامج تجسس على أجهزة الكمبيوتر الخاصة بهم بناءً على طلب من مؤسسات تابعة لجهات خارجية.
هذا النوع من الوصول المفتوح هو ما أسهم في حادثة اختراق عام 2020. لكن المفاجأة أنها لم تكن مجرد حادث عابر، بل يتكرر بمعدل مذهل يصل لمعدل اختراق واحد أسبوعيًا، والتي لا يسمع عنها المستخدمون غالبًا.
زعم زاتكو كذلك أن حذف أحد المستخدمين لحسابه على «تويتر» لا يحذف بياناته نهائيًا من المنصة، إذ تفشل الشركة في تتبع وإلغاء المعلومات، رغم تأكيدها في تقارير إلى السلطات التنظيمية المختصة أنها امتثلت لأوامر سابقة بهذا الصدد.
البوتس يحكمون «تويتر»
البوتس هي اختصار لكلمة الروبوت، وهي برنامج تتولى تنفيذ مهام مؤتمتة ومتكررة ومحددة مسبقًا، تحاول محاكاة سلوك المستخدم البشري، لكنها تعمل بشكل أسرع بكثير من المستخدمين البشريين. لذلك يستخدمها الأفراد والمنظمات أو الأفراد على منصات التواصل الاجتماعي للتغريد وإعادة التغريد والتفاعل، بما يوسع انتشار تغريدات بعينها في أبسط مثال.
في حالة «تويتر» كان الأمر أصعب؛ فطالما ثارت الاتهامات للمنصة بالتراخي في تتبع وإيقاف البوتس على المنصة، لترد الإدارة بأن نسبتهم على «تويتر» لا تتجاوز 5% من إجمالي المستخدمين النشطين يوميًا. لكن زاتكو يقول إن نسبتهم أكبر من ذلك بكثر، وأن «تويتر» يتهرب من حساب النسبة الدقيقة، رغم امتلاكه ما يكفي من إمكانات ذلك.
وقال زاتكو، إن رئيس سلامة موقع «تويتر» أخبره أن الشركة لا تعرف حقًا عدد الروبوتات الموجودة على المنصة، وإن المديرين ليس لديهم أي حافز للتنقيب في الأمر؛ لأنهم «كانوا قلقين من أن نشر الأرقام الدقيقة على الملأ سيضر بصورة الشركة وتقييمها السوقي».
قد يخرج من الخدمة في أي لحظة
بحسب إفصاح زاتكو، فإن مشكلات الأمن السيبراني تضع مراكز بيانات «تويتر» تحت خطر مستمر للانهيار في أي لحظة؛ إذ يزعم الشركة أساءت قياس قدرتها على التعافي من الانقطاعات المتزامنة لمركز البيانات.
يدعي التقرير أن أكثر من نصف خوادم تويتر، البالغ عددها 500,000 مركز تعتمد على برامج قديمة، وأن العديد منها تفتقر إلى معايير الأمان الأساسية مثل القدرة على تشفير البيانات المخزنة، بينما لم تعد الخوادم الأخرى تتلقى دعم مقدم الخدمة؛ لأن البرنامج الذي يجري تشغيله عليها قديم جدًا. وإذا خرجت عدة مراكز بيانات من الخدمة في نفس الوقت، فإن افتقار «تويتر» لعملية شاملة لاسترداد البيانات يمكن أن يتسبب في كارثة محتملة تجبر المنصة على الإغلاق لأشهر أو حتى بشكل دائم.
الطريف كذلك أن «تويتر» لم يدفع مقابل حقوق الملكية الفكرية لمجموعات البيانات التي تدرب على الذكاء الاصطناعي لديه، بحسب الإفصاح، بما يعني أن بعض مزايا «تويتر» الأساسية، مثل الخوارزمية التي تحدد التغريدات التي سيرشحها الموقع للمستخدمين، تعمل بشكل غير قانوني، بما قد يعرض «تويتر» لخسائر مالية فادحة إذا قررت الشركات المالكة رفع دعاوى قانونية لاستعادة حقوقها، بما قد يجبر «تويتر» كذلك عن التوقف عن استخدام تلك البيانات.
يوظف جواسيس ويسلم بيانات النشطاء
يزعم الكشف كذلك أنه بسبب الموقف العام الضعيف للأمن السيبراني لـ«تويتر»، فإن الحكومات الأجنبية التي يمكنها الوصول إلى الشركة يمكن أن تلحق أضرارًا جسيمة بالأمن القومي. هذا ليس مجرد افتراض نظري وفق التقرير، إذ يقول زاتكو إن الحكومة الأمريكية سلمت «تويتر» نصيحة محددة قبل وقت قصير من فصله في يناير/ كانون الثاني، مفادها أن واحدًا أو أكثر من موظفي الشركة كان يعمل لصالح وكالة استخبارات أجنبية.
يزعم الكشف كذلك أن كبير مسؤولي التكنولوجيا في «تويتر»، اقترح في الأشهر التي سبقت الغزو الروسي لأوكرانيا، تقديم تنازلات لموسكو، عبر السماح برقابة واسعة النطاق على المحتوى المتعلق بحكومتها، مقابل تقديم تسهيلات يعتقد أنها ستساعد الشركة على النمو في روسيا، كما يزعم أن «تويتر» حصل على أموال من بكين مقابل مشاركة معلومات قد تؤدي إلى تسهيل الوصول إلى مستخدمي المنصة في الصين، الذين تحايلوا على الرقابة الحكومية للوصول إلى النظام. ورغم معرفة الإدارة بالمخاطر التي قد يشكلها قرار مماثل على حياة المستخدمين، فإنها اعتبرت أن الأموال مصيرية ولا يمكن التنازل عنها.
إضافة، يدعي زاتكو أن الهند أجبرت «تويتر» على توظيف وكلاء حكوميين يتمتعون بوصول واسع النطاق إلى أنظمة المنصة الداخلية، وأن الشركة لم تكشف عن تلك الحقيقة في تقارير الشفافية الخاصة بها.
«تويتر» يخدع حكومة أمريكا
ويزعم زاتكو أن «تويتر» ضلل عمدًا السلطات التنظيمية بشأن تعامله مع بيانات المستخدمين، وأن الشركة لا تفي بالتزاماتها بموجب تسوية الخصوصية التي وقعتها في عام 2011 مع لجنة التجارة الفيدرالية – وهو أمر ملزم قانونًا يتطلب، من بين أشياء أخرى، إنشاء «ضمانات معقولة» لحماية المعلومات الشخصية للمستخدمين.
يدعي إفصاح زاتكو وقوع انتهاكات «واسعة النطاق، ومتكررة وغير متقطعة» للقانون الفيدرالي الأمريكي، الذي يحظر الممارسات التجارية غير العادلة أو المخادعة.