تطبيق المراسلة Tokee يُسرّب 1.2 مليون ملف تعريفي للمستخدمين في حادثة كشف قاعدة بيانات

ما الذي كشفت عنه حادثة تسريب قاعدة بيانات Tokee فعليًا؟

اكتشف باحثو الأمن مؤخرًا قاعدة بيانات غير محمية تخص تطبيق Tokee للمراسلة بالفيديو والنصوص، كانت مكشوفة ومتاحة للوصول دون أي مصادقة. احتوت قاعدة البيانات على سجلات ما يقارب 1.2 مليون مستخدم، تضمنت الأسماء الكاملة وأرقام الهواتف ورموز الأجهزة. تستحق هذه الفئة الأخيرة اهتمامًا خاصًا: فرموز الأجهزة هي معرّفات فريدة مرتبطة بهاتف أو جهاز لوحي بعينه، ويمكن استخدامها لتتبع الجهاز عبر الخدمات المختلفة، وإرسال إشعارات دفع غير مصرح بها، أو رسم خريطة لأنماط نشاط المستخدم عبر الزمن.

لم يكن هذا اختراقًا متطورًا. لم يكن بحاجة أي مهاجم إلى اختراق جدران الحماية أو استغلال ثغرات معقدة. كانت قاعدة البيانات ببساطة مفتوحة، مما يعني أن أي شخص يعرف أين يبحث كان بإمكانه الوصول إلى البيانات ونسخها. وما إذا كان أي طرف غير مصرح له قد فعل ذلك قبل أن يعثر عليها الباحثون ويُبلّغوا عنها لم يُؤكَّد علنًا، وهذا تحديدًا هو المشكلة في هذا النوع من الحوادث.

يضع حجم الكشف هذا الحادثة بحزم في خانة حوادث الخصوصية الخطيرة. وأرقام الهواتف تحديدًا أهداف ذات قيمة عالية لأنها تُستخدم للمصادقة الثنائية وهجمات اختطاف شريحة SIM والحملات الاحتيالية الموجَّهة عبر الرسائل القصيرة.

لماذا لا تحمي التشفير وحده مستخدمي تطبيقات المراسلة؟

افتراض شائع لدى المستخدمين المهتمين بالخصوصية هو أن اختيار تطبيق مراسلة مشفّر من طرف إلى طرف يحل معظم مشكلات كشف بياناتهم. توضح حادثة Tokee تحديدًا لماذا هذا الافتراض منقوص.

يحمي التشفير من طرف إلى طرف محتوى الرسائل أثناء انتقالها بين المرسل والمستقبل. لكنه لا يحمي البيانات الوصفية التي تجمعها منصات المراسلة وتخزّنها على خوادمها الخاصة: من أنت، وما الجهاز الذي تستخدمه، وما رقم الهاتف الذي سجّلت به، وما مدى تكرار استخدامك للتطبيق. كل تلك المعلومات تعيش في قواعد بيانات يتحكم فيها مزوّد التطبيق، وإذا أُسيء ضبط تلك القواعد أو كانت غير مؤمَّنة بشكل كافٍ، فلا يمنع أي قدر من تشفير الرسائل تسرّبها.

هذه هي الثغرة الهيكلية ذاتها التي تجعل حتى المنصات المعنية بالخصوصية يصعب الوثوق بها كليًا. قد يكون محتوى الرسائل غير قابل للقراءة، لكن البيانات المحيطة بها تحكي قصتها الخاصة. وفي ظل مناقشات الاتحاد الأوروبي لتشريع مراقبة المحادثات الإلزامية، يصبح الادعاء بأن جمع البيانات الوصفية أقل حساسية جوهريًا من محتوى الرسائل أمرًا يصعب الدفاع عنه بشكل متزايد.

تُعدّ حادثة Tokee مثالًا ملموسًا على ما يحدث حين لا تُعامَل تلك البيانات الوصفية بالصرامة ذاتها التي يُعامَل بها محتوى الرسائل.

كيف تقلل شبكات VPN من بصمتك في البيانات الوصفية على خوادم التطبيقات؟

حين تتصل بتطبيق مراسلة دون VPN، تسجّل خوادم التطبيق عنوان IP الحقيقي الخاص بك إلى جانب نشاط حسابك. يمكن استخدام عنوان IP هذا لاستنتاج موقعك التقريبي ومزود خدمة الإنترنت الخاص بك، وفي بعض الحالات هويتك. إذا كُشف عن تلك البيانات المخزّنة على الخادم في اختراق كاختراق Tokee، أو إذا طُلبت بأمر قضائي، أو وصل إليها جهة تهديد مرتبطة بدولة، يصبح عنوان IP الخاص بك معلومة تعريفية إضافية مرتبطة بحسابك.

تستبدل شبكة VPN عنوان IP الحقيقي الخاص بك بعنوان تابع لخادم VPN، بحيث ما يُسجَّل في سجلات خادم التطبيق هو عنوان مشترك لا عنوان يشير مباشرة إليك. لا يمنع هذا حدوث اختراق، ولا يحمي رقم الهاتف أو رمز الجهاز الذي سجّلت به. لكنه يقلل بشكل ملموس من إمكانية استخدام البيانات المكشوفة لتحديد موقعك أو التعرف على هويتك.

تتضح أهمية الحد من بصمة البيانات الوصفية أكثر في السياقات عالية المخاطر. تستهدف الهجمات المتطورة المدعومة من دول البنية التحتية للاتصالات الشخصية بشكل متزايد، وإضافة VPN فوق تطبيقات المراسلة يُشكّل حاجزًا حقيقيًا وإن كان جزئيًا. وبالمثل، من المهم تذكّر أن التطبيقات الخبيثة على جهازك يمكنها أيضًا حصد البيانات على مستوى النظام، كما رأينا في حالات مثل برنامج NoVoice الخبيث الذي أصاب أكثر من 2.3 مليون جهاز أندرويد عبر متجر Google Play، مما يعزز قيمة تقليل البيانات التعريفية التي يمكن لأي تطبيق بمفرده جمعها وتخزينها.

ما الذي ينبغي لمستخدمي Tokee فعله الآن؟

إذا كان لديك حساب على Tokee، فعامل رقم هاتفك المسجَّل باعتباره معرّضًا للخطر المحتمل. يعني ذلك التنبّه لأي رسائل SMS غير معتادة، خاصةً تلك التي تطلب منك النقر على روابط أو تأكيد تفاصيل الحساب. كن حذرًا بشكل خاص من أي رسائل تدّعي أنها من بنك أو خدمة توصيل أو شركة تقنية، إذ قد يكون رقم هاتفك متداولًا الآن بين من يجمعون البيانات المسرّبة.

إذا كنت تستخدم رقم الهاتف ذاته لتفعيل المصادقة الثنائية على حسابات أخرى، فكّر في التحويل إلى تطبيق مصادقة بدلًا من التحقق عبر الرسائل القصيرة، إذ كثيرًا ما تُستخدم أرقام الهواتف المكشوفة في الاختراقات في مخططات اختطاف شريحة SIM المصمَّمة لاختطاف الحسابات.

على نطاق أوسع، تُعدّ هذه الحادثة تذكيرًا مفيدًا بمراجعة التطبيقات التي تملك صلاحية الوصول إلى رقم هاتفك، ومراجعة الأذونات الممنوحة لتطبيقات المراسلة على جهازك. الحد من البيانات التي يمكن للتطبيقات جمعها ابتداءً هو شكل أكثر ديمومة من الحماية مقارنةً بالأمل في أن تؤمّن كل منصة قواعد بياناتها بشكل صحيح.

أخيرًا، استخدام VPN باستمرار أثناء الاتصال بتطبيقات المراسلة يضيف طبقة حماية تعمل باستقلالية عن الممارسات الأمنية التي يتبعها التطبيق ذاته. لا يمكنك التحكم في كيفية إدارة Tokee أو أي منصة أخرى لبنيتها التحتية الخلفية، لكن يمكنك التحكم في مقدار المعلومات التعريفية التي تصل إلى تلك الخوادم أصلًا.

تُذكّرنا حادثة Tokee بأن الخصوصية على منصات المراسلة ليست مجرد دالة للتشفير المدمج في التطبيق ذاته. إنها تعتمد أيضًا على كيفية تعامل المنصة مع البيانات المحيطة باتصالاتك، وهذا الجانب من المعادلة خارج سيطرتك تمامًا بمجرد أن تسلّمه. بناء عادات تقلل من هذا التسليم هو الدفاع الأكثر عملية المتاح للمستخدمين العاديين.