تكنلوجيا الويب

تزعم منافسة تويتر Spoutible حملة تشهير وسط جدل حول الاختراق الأمني


يدعي أحد المستخدمين على موقع Spoutible البديل لـ Twitter/X أن الشركة حذفت منشوراته بعد أن ضغطوا على الرئيس التنفيذي لشركة Spoutible كريستوفر بوزي ليكون أكثر صدقًا بشأن طبيعة مشكلتها الأمنية الأخيرة. هذه الادعاءات، التي تنفيها الشركة، هي أحدث تطور غريب في ملحمة الحوادث الأمنية التي حدثت خلال الأسبوع الماضي عند بدء التشغيل.

في الأسبوع الماضي، اعترف بوزي بوجود ثغرة أمنية قال إنها كشفت عن رسائل البريد الإلكتروني وأرقام هواتف المستخدمين في شركته الناشئة، والتي تم وضعها على أنها موقع تويتر أكثر شمولاً وأكثر لطفاً. ومع ذلك، وجد الباحث الأمني ​​تروي هانت، مبتكر موقع Have I Been Pwned، الذي يسمح للأشخاص بالتحقق لمعرفة ما إذا كانت بياناتهم قد تم اختراقها في خرق البيانات، أن واجهة برمجة تطبيقات مطور Spoutible كانت تكشف أيضًا عن معلومات كان من الممكن أن يستخدمها الفاعلون السيئون للحصول عليها على حسابات المستخدمين دون علمهم.

قام هانت بتفصيل النتائج التي توصل إليها بشأن هذه التهمة الأكثر خطورة على موقعه على الإنترنت، مشيرًا إلى أن Spoutible API أعادت البيانات بما في ذلك تجزئة bcrypt لكلمة مرور أي مستخدم آخر، بالإضافة إلى أسرار 2FA (العاملين) والرمز المميز الذي يمكن إعادة استخدامه لإعادة تعيين كلمة مرور المستخدم. كلمة المرور.

باختصار، كانت هذه الثغرة الأمنية قابلة للاستغلال بدرجة كبيرة وكان من الممكن أن تسمح لممثل سيء بالاستيلاء على حساب المستخدم دون علمه، كما ذكرت The Verge في ذلك الوقت. تم تنبيه هانت لهذه المشكلة من قبل طرف ثالث ادعى أنه قام بسحب البيانات من خدمة Spoutible. كما تم حساب Pwned تم التأكيد على X، كان لدى Spoutible 207000 سجل مستخدم تم استخراجها من واجهة برمجة التطبيقات (API) التي تم تكوينها بشكل خاطئ، بما في ذلك “الاسم والبريد الإلكتروني واسم المستخدم والهاتف والجنس وتجزئة كلمة مرور bcrypt وسر 2FA ورمز إعادة تعيين كلمة المرور.”

اعتبارًا من يونيو الماضي، كان لدى Spoutible 240.000 مستخدم مسجل، لذا أثر الاختراق على جزء كبير من قاعدة مستخدمي الشبكة الاجتماعية الأصغر.

وأوضح الباحث الأمني ​​أنه من الممكن أن يتم استغلال الثغرة الأمنية من قبل جهات فاعلة سيئة، والتي كانت ستتمكن من الحصول على نسخة مجزأة من كلمات مرور المستخدمين. على الرغم من أن كلمات المرور كانت محمية عبر bcrypt، إلا أنه كان من الممكن أن يكون من الأسهل تخمين كلمات المرور الأقصر واختراقها. بالإضافة إلى ذلك، لن يتم إرسال أي إشعار عبر البريد الإلكتروني إلى صاحب الحساب بشأن تغيير كلمة المرور، لذلك لن يعرفوا أبدًا ما إذا كان حسابهم لم يعد تحت سيطرتهم، كما أشار هانت.

كان من الممكن أن يمثل هذا النوع من الأشياء مشكلة بالنسبة لأي شركة ناشئة، ولكن بشكل خاص عندما تكون قاعدة المستخدمين مليئة بالمستخدمين الأوائل الذين ربما قاموا ببساطة بتجربة Spoutible لبعض الوقت قبل الانتقال إلى بديل آخر لتويتر، مما يترك الحسابات شبه المهجورة جاهزة للاستخدام. الأخذ.

وأكد كريستوفر بوزي، الرئيس التنفيذي لشركة Spoutible، حدوث خرق للبيانات وضعفها، وطلبت الشركة من المستخدمين إنشاء كلمات مرور جديدة أقوى، بعد معالجة المشكلة. ومع ذلك، فقد أشار أيضًا إلى اكتشاف الثغرة الأمنية باعتباره “هجومًا” على شبكته وزعم أن الشخص الذي قام بنسخ البيانات كان شخصًا كان ينوي الإضرار بسمعة Spoutible.

وقال بوزي في منشور، في إشارة إلى المخطر الذي أرسل هانت السجلات المحذوفة: “نحن واثقون من أن الشخص المتورط هو زعيم العصابة الذي كان يهاجم Spoutible لمدة عام”.

في رسالة بريد إلكتروني مع TechCrunch، عرض بوزي أفكاره بشكل أكبر، زاعمًا أن المجموعة عبر الإنترنت المعروفة باسم “مشكوك فيه“، التي ظهرت مطلع العام الماضي، كانت وراء الهجوم. وقال بوزي إن شركة Doubtible تدير حسابًا على Twitter/X حيث “يقومون بتغريد الأكاذيب حول Spoutible وعني وعن أعضاء بارزين في مجتمعنا يوميًا”. “نحن نعتقد اعتقادا راسخا أن هذه المجموعة تقف وراء الحذف غير المصرح به لبياناتنا” – وهو اتهام كرره بوزي ردا على مراجعة على Trustpilot، حيث أشار أيضا إلى أنه كان ينبه مكتب التحقيقات الفيدرالي إلى هذه المسألة.

وتابع بوزي: “لا يتعين على شخص ما أن يستخرج أكثر من 207 ألف سجل للكشف عن الثغرة الأمنية”. “ومع ذلك، من خلال تضمين البيانات أيضًا، فإن ذلك يجعلها أكثر جدارة بالنشر بشكل ملحوظ. إذا كان شخص ما يهدف إلى الكشف عن ثغرة أمنية لتشويه سمعة الشركة، فإن السيد هانت سيكون بالفعل جهة الاتصال المثالية له. السبب وراء اختيارهم واضح: تغريدات السيد هانت، ومنشور مدونته، ومقاطع الفيديو التابعة له تتوافق تمامًا مع نواياهم. وأضاف بنبرة تآمرية: “إن الطريقة التي قام بها السيد هانت بإثارة الحادث وتصويره هي بالضبط ما كانوا يأملون فيه”.

يدعي بوزي أن الثغرة الأمنية نشأت لأن أحد أعضاء فريقه استخدم وظيفة مخصصة لواجهة برمجة التطبيقات لإعدادات المستخدم مع وظيفة مصممة لواجهة برمجة التطبيقات العامة، وهذا هو سبب كشف رسائل البريد الإلكتروني وأرقام الهواتف المشفرة بنص عادي. وقال إن Spoutible دخلت الآن في شراكة مع شركة أمنية لإجراء مزيد من المراجعة لأنظمتها، في ضوء هذا الحادث.

ومع ذلك، اتهم العديد من الأشخاص منذ ذلك الحين بوزي بمحاولة التقليل من خطورة الثغرة الأمنية، بما في ذلك صحفي البيانات دان نغوين، الذي أعاد مؤخرًا مشاركة منشور رائد الأعمال التكنولوجي أنيل داش على موقع Bluesky الذي يحذر المستخدمين من “الابتعاد عن الكلام”. أشار مستخدم آخر من مستخدمي Bluesky بشكل ملون إلى قيام Spoutible بإلقاء بيانات المستخدم على أنه أقرب إلى “انتقام مونتيزوما”.

على الرغم من أن اختراق البيانات يعد أمرًا سيئًا بالفعل بالنسبة للعلاقات العامة بالنسبة لشركة ناشئة، إلا أن هناك الآن تساؤلات حول ما إذا كانت الشركة تقوم بإسكات منتقديها أم لا.

اتهم أحد مستخدمي Spoutible، مايك ناتالي، الرئيس التنفيذي علنًا بحذف منشوراته على موقع التواصل الاجتماعي، حيث دفع Bouzy ليكون أكثر شفافية.

وكتبت ناتالي ردًا على مستخدم آخر لـ Bluesky: “بوزي… حذف كل منشوراتي ومسح حائطي”.

اعتمادات الصورة: مايك ناتالي على بلوسكي (يفتح في نافذة جديدة)

وفي رد آخر، أوضح ناتالي أن بوزي أعاد في البداية نشر منشوراته على Spoutible للتعليق على الأمر، لكنه حذف بعد ذلك جميع منشورات Natale عندما اعترض على “الرواية القائلة بأن هذا كان هجومًا” و”أن الشركات الأخرى كان لها الحق في ذلك”. نفس العيوب.”

لا تتضمن المشاركات المفقودة العلامة المعتادة التي تشير إلى حذفها. في Spoutible، تحتوي المشاركات التي تتم إزالتها على ملاحظة نظام مرفقة تقول “@user حذف هذا الرد”. على سبيل المثال، إذا قام Bouzy بحذف الرد، فسيكون نصه “@bouzy حذف هذا الرد”.

لكن في هذه الحالة، قال Natale في تعليقاته على Bluesky أن المنشورات قد اختفت للتو وأن موجز Spoutible الرئيسي الخاص به لا يتم تحميله.

حساب تويتر/X نشر Doubtible أيضًا حول ادعاءات Natale. لم ترد Natale على طلبات التعليق.

وفي الوقت نفسه، نفى كريستوفر بوزي، الرئيس التنفيذي لشركة Spoutible، حذف مشاركات Natale.

“فيما يتعلق بالمشكلة مع المستخدم Natale، لم نحذف منشوراته أو حسابه. من الممكن أن يقوم المستخدمون بإزالة المحتوى الخاص بهم ثم يتهموننا زورا، مما يشير مرة أخرى إلى وجود مؤامرة. وخلص إلى أن “هذا الادعاء لا أساس له من الصحة ولا يستحق المزيد من النقاش”.

ويعيد الحادث الذي وقع في Spoutible إلى الأذهان شركة أخرى أصغر حجمًا، وهي Hive، والتي واجهت أيضًا مشكلة أمنية كبيرة بعد أن غمرتها مستخدمي تويتر بعد وقت قصير من الاستحواذ على Elon Musk. في هذه الحالة، تقوم الشركة الناشئة بإغلاق تطبيقها بالكامل لإصلاح العيوب الخطيرة قبل العودة إلى متجر التطبيقات. تمكنت Hive من الصمود في وجه العاصفة والعودة في النهاية، لكنها لم تعد تشكل تهديدًا لتويتر بعد ضياع الفرصة.

ويبقى أن نرى أيضًا ما إذا كانت سمعة Spoutible ستتعافى من هذه الوصمة.



اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى