ل قاعدة بيانات مستضافة على السحابة بدون حماية كشف هذا الملف عن ملايين بيانات تسجيل الدخول لخدمات شهيرة مثل فيسبوك، وجيميل، وآي كلاود، وتيك توك، ونتفليكس، وبينانس، وأونلي فانز. وقد احتوى الملف، الذي كان متاحًا للعامة لفترة غير محددة، على أسماء مستخدمين وكلمات مرور كاملة جاهزة لإعادة استخدامها من قبل مجرمي الإنترنت.
تم التوصل إلى هذا الاكتشاف من قبل باحث أمني جيريميا فاولرقام المسؤولون بإبلاغ شركة الأمن السيبراني ExpressVPN على الفور بالحادثة. قامت الشركة بتحليل المستودع وتأكدت من أنه كان مجموعة ضخمة من بيانات الاعتماد المسربة من تسريبات سابقة، مجمعة في حاوية سحابية واحدة بدون تشفير أو ضوابط وصول.
قاعدة بيانات تحتوي على 149 مليون بيانات اعتماد مكشوفة
وفقًا للبيانات التي جمعتها شركة ExpressVPN، فإن الخادم غير الآمن الذي يستضيف حوالي 96 جيجابايت من المعلومات، وتحديداً بيانات اعتماد تسجيل الدخول لجميع أنواع الخدمات الرقمية. لم تكن هذه مجرد قوائم بريدية عشوائية: فقد تضمن الأرشيف البريد الإلكتروني، وأسماء المستخدمين، وكلمات المرور بنص عادي، مورد قيّم للغاية للهجمات الآلية واسعة النطاق.
إجمالاً، احتوت قاعدة البيانات على ما يقارب 149 مليون سجل تسجيل دخول فريدومن بينها 48 مليون بيانات اعتماد مرتبطة بـ Gmail، منها 900.000 ألف حسابات iCloud1,5 مليون مستخدم لبرنامج Outlook، و17 مليون مستخدم لفيسبوك، و6,5 مليون مستخدم لإنستغرام، و780.000 ألف مستخدم لتطبيق TikTok، و3,4 مليون مستخدم لنتفليكس. كما تم تضمين 100.000 عملية تسجيل دخول على OnlyFans و 420.000 حساب على منصة Binance للعملات المشفرةبالإضافة إلى مئات الآلاف من بيانات الاعتماد المرتبطة بتطبيقات مالية ومصرفية أخرى.
وتمتد قائمة الخدمات المتأثرة إلى أبعد من ذلك: فيسبوك، إنستغرام، تيك توك، وإكس (تويتر سابقاً) من بين الشبكات الاجتماعية؛ وخدمات البريد الإلكتروني مثل Gmail وOutlook وYahoo؛ ومنصات البث مثل نتفليكس، وإتش بي أو ماكس، وديزني بلسللحصول على مزيد من المعلومات حول إنستغرام، يمكنك الرجوع إلى تحذير بشأن تسريب بيانات ضخم على إنستغرامإلى جانب ذلك، كانت هناك حسابات Roblox وخدمات تخزين سحابية أخرى وتطبيقات المحفظة الرقمية والتداول، مما يزيد من خطر الاستخدام الاحتيالي المحتمل.
أكد فاولر نفسه عدد السجلات وقد ازداد ذلك بينما ظلت قاعدة البيانات متاحةيشير هذا إلى أنه كان مستودعًا نشطًا يتم تحديثه بانتظام. وتعزز هذه المعلومة فرضية أن شخصًا ما كان يضيف بشكل منهجي مجموعات من بيانات الاعتماد المسربة من حوادث مختلفة على مر الزمن.
كما احتوت السجلات على معلومات تتعلق بـ الحسابات التعليمية ذات النطاقات .edu، وبدرجة أقل، النطاقات المؤسسية أو الحكومية (.gov).يمكن أن يكون هذا النوع من الملفات الشخصية حساسًا بشكل خاص إذا كانت الحسابات المخترقة تتمتع بصلاحيات عالية أو إمكانية الوصول إلى الأنظمة الداخلية للجامعات والإدارات.
أصل غير مؤكد ومستودع تمت إزالته بالفعل
بعد التأكد من مدى خطورة الوضع، تواصلت ExpressVPN مع مزود خدمة الحوسبة السحابية المسؤول عن الاستضافة. وبمجرد إصدار التنبيه، تم إغلاق المستودع. تمت إزالته من الخادم ولم يعد متاحًا للعامةومع ذلك، يقر الخبراء بأنه من المستحيل معرفة عدد المرات التي تم فيها تنزيل الملف بالضبط أو من كان لديه حق الوصول إلى محتوياته.
تشير النتائج الأولية إلى أن قاعدة البيانات لم تنشأ من هجوم حديث واحد، بل من يقوم بتجميع بيانات الاعتماد المسروقة في العديد من الاختراقات السابقة.كان شخص ما يجمع قوائم بأسماء المستخدمين وكلمات المرور من حوادث مختلفة، ثم يقوم بتخزينها معًا في نفس المستودع دون تطبيق أي إجراءات أمنية أساسية.
استناداً إلى المعلومات المتاحة، تقر شركة ExpressVPN بأن لا يمكن تحديد ما إذا كان الشخص المسؤول قد تصرف لأغراض إجرامية أم مشروعة.قد يكون الأمر متعلقًا بجهة خبيثة تدير مجموعة كبيرة من بيانات الاعتماد لحملات مستقبلية، أو بشخص يتعامل مع بيانات مسربة لأغراض بحثية أهمل تمامًا أمن الخادم. في كلتا الحالتين، النتيجة واحدة: ملايين من بيانات تسجيل الدخول التي يُحتمل إعادة استخدامها أصبحت مكشوفة ومتاحة للجميع.
ومن الجوانب المقلقة الأخرى أنه على الرغم من أن الخادم الأصلي لم يعد متصلاً بالإنترنت، أي نسخ تم تنزيلها قبل الإزالة يمكن أن يستمر تداولها في المنتديات السرية أو القنوات الخاصة. وفي السوق السوداء للبيانات المسروقة، تحظى هذه المجموعات الضخمة بتقدير كبير لأنها تتيح شنّ هجمات آلية واسعة النطاق بتكلفة منخفضة للغاية.
أشار فاولر نفسه إلى أنه لا يعلم كم من الوقت تحديداً كانت قاعدة البيانات مرئية؟منذ اكتشافها وحتى تقييد الوصول إليها، استمر حجم السجلات في التزايد، مما يشير إلى نشاط متواصل من قِبل الجهة التي كانت تديرها. وقد تكون فترة انكشافها كافيةً لمجموعات مختلفة من مجرمي الإنترنت لتحميل مجموعة البيانات بأكملها.
المخاطر: من تزوير بيانات الاعتماد إلى الاحتيال المالي
يتمثل التهديد الرئيسي الذي تشكله عمليات جمع بيانات الاعتماد من هذا النوع في الاستخدام المكثف لـ تقنيات حشو بيانات الاعتمادتتكون هذه الطريقة من اختبار مجموعات حقيقية من البريد الإلكتروني وكلمة المرور بشكل مكثف وتلقائي على العديد من الخدمات المختلفة، مستفيدة من حقيقة أن العديد من المستخدمين يعيدون استخدام كلمة المرور نفسها على منصات متعددة.
عندما تتطابق مجموعة من البيانات، ينجح المهاجم الوصول المباشر إلى الحساب دون الحاجة إلى اختراق الأنظمة التقنية المعقدةومن هناك، تنفتح مجموعة من الاحتمالات: من السيطرة على ملفات تعريف وسائل التواصل الاجتماعي، المستخدمة لنشر عمليات الاحتيال أو البرامج الضارة بين جهات الاتصال الموثوقة، إلى تسجيل الدخول إلى الخدمات المصرفية أو محافظ العملات المشفرة أو بوابات الدفع المرتبطة بالبريد الإلكتروني المخترق.
حتى لو اقتصر الوصول الأولي على حساب بريد إلكتروني واحد، فقد يتفاقم الوضع بسرعة. فبمجرد سيطرة المهاجم على صندوق الوارد، يمكنه إعادة تعيين كلمات المرور للخدمات الأخرى المرتبطة، ومراجعة الإشعارات المالية، وطلب رموز الاسترداد، والتحول بشكل عام إلى منصات أخرى مهمة تعتمد على هذا البريد الإلكتروني.
كما حذر باحثو ExpressVPN من احتمال زيادة في حملات التصيد الاحتيالي وسرقة الهوية وبناءً على هذه البيانات، فإن امتلاك عنوان البريد الإلكتروني للضحية، ومعرفة الخدمات التي تستخدمها، وحتى امتلاك بعض بيانات اعتمادها القديمة، يجعل من السهل جدًا إنشاء رسائل احتيالية تبدو معقولة ويصعب التعرف عليها على أنها عمليات احتيال.
في السياق الأوروبي، حيث ينتشر استخدام الخدمات المصرفية الإلكترونية وتطبيقات الدفع على نطاق واسع، يمكن أن يؤدي هذا القدر من التعرض إلى زيادة في عمليات الاحتيال المالي الموجهتشهد إسبانيا موجات من الرسائل النصية القصيرة ورسائل البريد الإلكتروني ومنشورات وسائل التواصل الاجتماعي التي تنتحل صفة البنوك أو شركات المراسلة أو المنصات الرقمية، وغالبًا ما تعتمد على بيانات تم الحصول عليها من تسريبات ضخمة مثل هذه.
على الرغم من عدم ربط أي موجة محددة من الهجمات بهذا المستودع تحديدًا حتى الآن، يؤكد الخبراء على ذلك. قد تظهر آثار التسرب تدريجياًغالباً ما يستغل مجرمو الإنترنت هذه المجموعات لأشهر أو سنوات، ويجمعونها مع مصادر معلومات أخرى لتحسين حملاتهم، بينما يظل العديد من المستخدمين غير مدركين أن بيانات اعتمادهم مدرجة في قوائم مخترقة.
المستخدمون الأوروبيون والإسبان تحت الأضواء
الطبيعة العالمية لخدمات مثل Gmail أو Facebook أو TikTok أو iCloud أو Netflix هذا يعني أن نسبة كبيرة من الحسابات المتضررة تعود لمستخدمين أوروبيين وإسبان. عملياً، تتيح هذه البيانات الوصول إلى جوانب عديدة من الحياة الرقمية: الخدمات المصرفية، والتسوق الإلكتروني، والخدمات الحكومية، ومنصات الرعاية الصحية، وأنظمة التعليم.
في الاتحاد الأوروبي، اللائحة العامة لحماية البيانات (RGPDيتطلب ذلك من الشركات التي تتعرض لاختراقات داخلية إخطار السلطات والمستخدمين. ومع ذلك، في هذه الحالة تحديدًا، يبدو أن المستودع تجميع خارجي للحوادث السابقةوهذا يعقد عملية إسناد المسؤولية إلى شركة واحدة ويعيق التطبيق المباشر لآليات الإخطار هذه.
في إسبانيا، دأبت الوكالة الإسبانية لحماية البيانات (AEPD) على التأكيد لسنوات على أهمية تبني ممارسات النظافة الرقمية الجيدةتُعدّ كلمات المرور القوية، والتحقق بخطوتين، والمراجعة الدورية للأذونات، والحدّ من مشاركة المعلومات مع تطبيقات الطرف الثالث، من أهمّ التدابير الأمنية. وتختبر مجموعةٌ تضمّ 149 مليون بيانات اعتماد مكشوفة مدى الالتزام بهذه التوصيات في الممارسة اليومية.
بالنسبة للمستخدمين الإسبان الذين لديهم حسابات على المنصات المذكورة أعلاه - من رسائل البريد الإلكتروني Gmail أو Outlook إلى الشبكات الاجتماعية وخدمات البث أو التطبيقات المالية - فإن التوصية الأكثر حكمة هي قم بتحديث بيانات تسجيل الدخول الخاصة بك في أقرب وقت ممكن.خاصةً إذا لم يغيروا كلمة مرورهم لفترة طويلة أو إذا كانوا يستخدمونها نفسها في خدمات متعددة. مع أنه لا توجد قائمة عامة بالعناوين المخترقة، إلا أن المنطق السليم يقتضي التعامل مع الأمر كما لو كان خطراً حقيقياً.
لا يقتصر التأثير على الأفراد فقط، بل يشمل الكثيرين. تسمح الشركات والإدارات العامة بالوصول إلى موارد الشركات من الأجهزة والحسابات الشخصيةفي هذه البيئات، يمكن أن تكون بيانات الاعتماد المخترقة بمثابة بوابة إلى الشبكات الداخلية سيئة التجزئة، أو الأنظمة القديمة، أو التطبيقات التي تفتقر إلى الحماية الكافية، مع عواقب تتجاوز بكثير سرقة حساب فردي.
اتخاذ تدابير فورية لتعزيز الأمن
يتفق الخبراء الذين تم استشارتهم على أن الخطوة الأولى، سواء بالنسبة للمستخدمين في إسبانيا أو في بقية أنحاء أوروبا، هي قم بتغيير كلمات المرور للخدمات التي قد تتأثر.ينبغي توسيع نطاق هذا الإجراء ليشمل أي منصة أخرى تم فيها استخدام نفس المفتاح أو مفتاح مشابه جدًا، بهدف قطع تأثير الدومينو الذي يسعى إليه المهاجمون من جذوره.
بالإضافة إلى ذلك، يُنصح بتفعيل المصادقة الثنائية (2FA أو MFA) كلما أمكن ذلك. يضيف هذا النظام طبقة إضافية من الأمان من خلال اشتراط رمز مؤقت - يتم إرساله عبر الرسائل النصية القصيرة، أو يتم إنشاؤه بواسطة تطبيق، أو تخزينه على مفتاح مادي - حتى في حالة اختراق اسم المستخدم وكلمة المرور.
ومن التوصيات الأخرى التي يتم تكرارها استخدام مديري كلمات المرورتتيح لك هذه الأدوات إنشاء كلمات مرور طويلة ومعقدة وفريدة لكل خدمة وتخزينها بأمان. وهذا يجنبك إغراء إعادة استخدام كلمة المرور نفسها عبر منصات متعددة، وهو أحد العادات التي تسهل عمل مجرمي الإنترنت.
وينصح الخبراء أيضاً بمراجعة الأذونات الممنوحة لتطبيقات الطرف الثالث مرتبط بحسابات جوجل، أو أبل، أو مواقع التواصل الاجتماعي، أو غيرها من حسابات الخدمات. إن إلغاء الوصول إلى التطبيقات التي لم تعد مستخدمة، وتقييد صلاحيات التطبيقات المتبقية، يقلل من الأثر في حال استخدام بيانات اعتماد مخترقة للوصول إلى معلومات أكثر مما هو مصرح به.
لا يقل أهمية عن ذلك الحفاظ على أنظمة تشغيل ومتصفحات وحلول أمنية محدثة على جميع الأجهزة، وتوخّ الحذر الشديد عند التعامل مع رسائل البريد الإلكتروني أو الرسائل النصية القصيرة أو أي رسائل أخرى تطلب معلومات شخصية أو مالية. يُعدّ التحقق من هوية المُرسِل، وتجنّب الطلبات العاجلة، والوصول إلى الخدمات عن طريق كتابة العنوان يدويًا في المتصفح، خطوات بسيطة تُساعد على تجنّب العديد من محاولات الاحتيال.
كشف قاعدة بيانات غير محمية باستخدام 149 مليون بيانات اعتماد تسجيل دخول لخدمات مثل فيسبوك، وجيميل، وآي كلاود، وتيك توك، ومنصات البث، والتطبيقات المالية تُسلط هذه الحادثة الضوء مجدداً على مدى هشاشة الأمن الرقمي عند إهمال التدابير الأساسية. ورغم إزالة المستودع وعدم وضوح مصدره، فإن احتمال تداول نسخ من هذه البيانات يُلزم المستخدمين الأوروبيين والإسبان بأخذ حماية حساباتهم على محمل الجد: فتحديث كلمات المرور، وتفعيل المصادقة الثنائية، ومراجعة الأذونات، واعتماد عادات تصفح حذرة، كلها عوامل تُحدث فرقاً جوهرياً بين الاستمرار في استخدام الإنترنت براحة بال نسبية، أو الوقوع ضحية لعملية احتيال معقدة يصعب إصلاحها.
