الأمن السيبراني العالمي في خطر

اشتعلت النيران في مجتمع الأمن السيبراني العالمي مؤخراً بسبب أنباء عن تسرب بيانات أكثر عن مليار شخص من قاعدة بيانات شرطة شنغهاي. وقد يكون لهذا الأمر تداعيات واسعة النطاق، إلا أن الجانب الأكثر إثارة للدهشة في هذه الحالة قد يكون حقيقة أن الاختراق ليس السبب الذي يقف خلفها، وإنما أخطاء أساسية في جهود السلامة الرقمية.
جدير بالذكر أن السعر المطلوب لقاعدة البيانات، التي تتضمن عدة مليارات من سجلات الحالات، 10 بيتكوين فقط (202 ألف دولار). ويوحي ذلك بأن البائع وقع مصادفة على البيانات، وأنه انتهازي وليس متسللاً محترفاً يحركه المال. وتكشف عينة من البيانات المنشورة في منتدى عبر الإنترنت، والتي اطلعت عليها «بلومبرغ أوبينيون»، سجلات الأشخاص في جميع أنحاء الصين بأسماء وهويات وأرقام هواتف محمولة، والمصدر الأصلي للبيانات، علاوة على الإشارة إلى المرة الأولى التي جرى فيها إدخال التفاصيل في السجل.
وبشكل مخيف، تتضمن قاعدة البيانات خانات تسجل تفاصيل طلبات التوصيل السريع وطلبات الطعام. وقد يعني هذا أن هذه البيانات جرى تجميعها من الشرطة من مصادر متعددة في جميع أنحاء البلاد، بما يتجاوز ما تجمعه السلطات المعنية بإنفاذ القانون عادةً بشكل مباشر. وبطبيعة الحال، ربما تبقى هناك تفسيرات أخرى لمثل هذه البيانات.
من ناحيتها، لم تتمكن «بلومبرغ أوبينيون» من التحقق على نحو مستقل من صحة البيانات، إلا أن الكثير من المنشورات في نفس المنتدى تشير إلى أن مستخدمين قد تولوا فحصها ووجدوها حقيقية.
أما سلطات شنغهاي، فلم تردّ علانية على خرق البيانات المزعوم. ولم يستجب ممثلو شرطة المدينة وإدارة الفضاء الإلكتروني في الصين لطلبات الحصول على تعليق التي تقدمت بها «بلومبرغ نيوز».
وبينما يسعى قراصنة إلى اختراق أنظمة الكومبيوتر، ربما باستخدام البرامج الضارة وهجمات التصيد الاحتيالي، يبدو أن هذا الاختراق أكثر وضوحاً. وعلى ما يبدو، فإن مطور البرامج المعني قد ترك مفتاح وصول مرئياً في مستودع رموز عبر الإنترنت أو في منشور مدوّن، تبعاً للبيانات المنشورة في المنتديات العامة ووسائل التواصل الاجتماعي، والمناقشات بين الأشخاص المطلعين على القضية، لكنهم غير مشاركين على نحو مباشر بها. ويشبه هذا المفتاح كلمة المرور، لكنه يعمل بشكل مختلف عنها.
والاحتمال الأكبر أنها باستخدام هذا المفتاح، والفهم الأساسي لكيفية إعداد قاعدة البيانات -الأمر الذي لا يتطلب معرفة داخلية- من المحتمل أن المعلومات قد جرى استخلاصها عن طريق الوصول إلى جهاز خادم مهيأ على نحو رديء. ويميل الإجماع داخل مجتمع الأمن السيبراني إلى أن هذا ليس خرقاً، وإنما مثال على الإهمال وممارسات الأمان الرديئة، على الرغم من عدم تأكيد الطريقة الدقيقة التي جرى من خلالها الحصول على البيانات.
وتشير المعلومات المنشورة عبر الإنترنت إلى أن قاعدة البيانات كانت تديرها شرطة شنغهاي، لكن ربما جرت استضافتها على جهاز خادم تديره شركة «علي كلاود» المملوكة لمؤسسة «علي بابا هولدينغ غروب المحدودة». وليس هناك ما يشير إلى مسؤولية «علي كلاود» عن أي ثغرات أمنية.
من ناحيتها، لم تردّ مؤسسة «علي بابا» على طلبات الحصول على تعليق. ومن غير الواضح حتى الآن ما إذا كان الأشخاص الذين تولوا تنزيل البيانات هم أنفسهم من يعرضونها للبيع.
والمعروف أن حوادث اختراق البيانات من الأمور الشائعة، مثلما حدث في اختراق بيانات شركة «سولار ويندز» عام 2020 من جانب عملاء روس، وصولاً إلى الحوادث التي تقع جراء المستويات الرديئة لإجراءات الأمن، مثل قضية «فيرست أميريكان فايننشال كورب» عام 2019.
ومع ذلك، ربما يكون حادث شرطة شنغهاي هذا أحد أكبر حوادث تسريب بيانات على الإطلاق، خصوصاً بالنظر إلى عمق المعلومات الواردة.
ورغم عدم وجود دليل على تضمين التفاصيل المالية مثل أرقام بطاقات الائتمان، فمن المرجح أن يتولى المحققون الاطلاع على البيانات لبناء صورة للمجتمع الصيني الحديث وكيفية عمل الحكومة. جدير بالذكر هنا أنه شكل تسريب سابق لقاعدة بيانات الشرطة الصينية الأساس للبحث في كيفية مراقبة السلطات والتحكم في سكان الأويغور في البلاد. وجرى نشر هذا العمل لاحقاً من معهد السياسة الاستراتيجية الأسترالي ومؤسسة «إنترسيبت»، في الوقت الذي تنفي الصين على نحو متكرر قمعها للأويغور.
ومع بناء فهم أفضل لهذا الخرق، بما في ذلك ما تعنيه الخانات وصلتها بمختلف المؤسسات في جميع أنحاء الصين، فمن المحتمل أن نتمكن من بناء صورة أكثر تفصيلاً لإطار جمع البيانات داخل الصين وكيفية استخدامه هذه البيانات هناك. ومع ذلك، يجب ألا نغفل عن حقيقة أن مليار شخص يعدّون الآن ضحايا محتملين لخرق رقمي آخر ناتج عن ممارسات أمنية رديئة.
* بالاتفاق مع «بلومبرغ»