تعيد شركات الاتصالات تدوير أرقام الهواتف التي تم التخلّي عنها بعد فترة انتظار قصيرة. ويمكن أن يشكل ذلك مشكلة، لأنّ العديد من الخدمات عبر الإنترنت تتطلب رقم هاتف لتحديد المستخدمين أو لإرسال كلمات مرور لمرة واحدة للمصادقة الثنائية.
وبالتالي، فإنّ المستخدمين الذين يتخلون عن رقم هاتفهم وينسون تحديث الحسابات إلى رقمهم الجديد، يتعرضون لخطر محاولات إعادة تعيين الحساب الضارة من قبل أي شخص يمكنه الوصول إلى رقمهم القديمة. وعمليات الاستيلاء على الحساب هذه، هي نتيجة شائعة عند تغيير رقم الهاتف.
اختطاف الحسابات
نشر باحثون في مجال الخصوصية من جامعة "برينستون" تقريرًا حول موضوع بعنوان "مخاطر الأمان والخصوصية لإعادة تدوير الأرقام في شركات الاتصالات المتنقلة في الولايات المتحدة". ووجد التقرير أن 171 من أصل 259 رقمًا تم أخذ عينات منها كانت مرتبطة بحسابات موجودة على مواقع ويب شهيرة، مما قد يسمح بسرقة تلك الحسابات.
تدابير للحد من المشكلة
تم اتخاذ تدابير مختلفة لجعل سرقة الحسابات أكثر صعوبة. على سبيل المثال، نشر العديد من شركات الاتصالات صفحات دعم تنصح العملاء الذين يغيرون الأرقام بتحديث رقم الاتصال الخاص بك على أي حسابات قد يكون رقمك محفوظًا بها، مثل إشعارات الحسابات المصرفية ووسائل التواصل الاجتماعي وما إلى ذلك. ويبدو أن هذه الثغرة الأمنية لا تزال قائمة مع الخدمات الأخرى عبر الإنترنت التي تعتمد على أرقام الهواتف المحمولة للمصادقة متعددة العوامل.
على سبيل المثال، إذا قام مستخدم "فيسبوك" بتغيير رقم الهاتف ولكنه فشل في ملاحظة هذا التغيير في فيسبوك أو الحسابات الأخرى التي تستخدمه للمصادقة، فيمكن لمستلم الرقم القديم المعاد تدويره محاولة تسجيل الدخول إلى حساب فيسبوك الذي لا يزال مرتبطًا بهذا الرقم. يتطلب القيام بذلك عمومًا كلمة مرور أيضًا.
لكن عدم وجودها لا يشكل بالضرورة عائقًا. فقد يكون رقم الهاتف كافيًا لإعادة تعيين كلمة المرور جديدة والوصول إليها على الرغم من المصادقة متعددة العوامل. عادةً، يتم إرسال إشعار للمستخدمين بتغيير كلمة المرور إلى عنوان البريد الإلكتروني المرتبط بحساباتهم.
وفي بعض عمليات تسجيل الدخول لتسجيل دخول جديد، يكون عنوان البريد الإلكتروني مطلوبًا أولاً، على الرغم من أنه ليس ضروريًا بعد ذلك. فبعد تقديم عنوان بريد إلكتروني والنقر على "متابعة تسجيل الدخول"، يمكن للمستخدم تقديم نفس عنوان البريد الإلكتروني أو رقم الهاتف لتلقي رمز التحقق لمرة واحدة الذي يتم إرساله في رسالة نصية تكمل عملية تسجيل الدخول. في هذه الحالة، يوفر التحكم في رقم الهاتف القديم الوصول إلى الحساب دون الحاجة إلى التحقق من صحة البريد الإلكتروني المتزامن.
ردُّ ميتا
حول هذا الموضوع، قالت ميتا إن هناك حالات تنتهي فيها صلاحية أرقام الهواتف، وتتم إتاحتها لشخص آخر غير المالك الأصلي. وإذا كان هذا الرقم لا يزال مرتبطًا بحساب المستخدم على فيسبوك، فيمكن للشخص الذي لديه هذا الرقم الآن أن يتولّى إدارة الحساب.
وعلى الرغم من أن هذا يثير القلق، إلا أن ميتا أشارت الى أنها لا يمكنها السيطرة على موفري الاتصالات الذين يعيدون إصدار أرقام الهواتف، أو على المستخدمين الذين لديهم رقم هاتف مرتبط بحساب "فيسبوك" وتخلوا عن الرقم.
من الواضح أن الشركات تتقاذف المسؤوليات ولا يمكنها تقديم حل جذري، لذلك يبقى الحل الوحيد لهذه المشكلة هو المستخدم نفسه. من هنا، احرص على فك ارتباط رقمك من جميع حساباتك قبل التخلي عنه، واربط الحسابات بالرقم الجديد.
وبالتالي، فإنّ المستخدمين الذين يتخلون عن رقم هاتفهم وينسون تحديث الحسابات إلى رقمهم الجديد، يتعرضون لخطر محاولات إعادة تعيين الحساب الضارة من قبل أي شخص يمكنه الوصول إلى رقمهم القديمة. وعمليات الاستيلاء على الحساب هذه، هي نتيجة شائعة عند تغيير رقم الهاتف.
اختطاف الحسابات
نشر باحثون في مجال الخصوصية من جامعة "برينستون" تقريرًا حول موضوع بعنوان "مخاطر الأمان والخصوصية لإعادة تدوير الأرقام في شركات الاتصالات المتنقلة في الولايات المتحدة". ووجد التقرير أن 171 من أصل 259 رقمًا تم أخذ عينات منها كانت مرتبطة بحسابات موجودة على مواقع ويب شهيرة، مما قد يسمح بسرقة تلك الحسابات.
تدابير للحد من المشكلة
تم اتخاذ تدابير مختلفة لجعل سرقة الحسابات أكثر صعوبة. على سبيل المثال، نشر العديد من شركات الاتصالات صفحات دعم تنصح العملاء الذين يغيرون الأرقام بتحديث رقم الاتصال الخاص بك على أي حسابات قد يكون رقمك محفوظًا بها، مثل إشعارات الحسابات المصرفية ووسائل التواصل الاجتماعي وما إلى ذلك. ويبدو أن هذه الثغرة الأمنية لا تزال قائمة مع الخدمات الأخرى عبر الإنترنت التي تعتمد على أرقام الهواتف المحمولة للمصادقة متعددة العوامل.
على سبيل المثال، إذا قام مستخدم "فيسبوك" بتغيير رقم الهاتف ولكنه فشل في ملاحظة هذا التغيير في فيسبوك أو الحسابات الأخرى التي تستخدمه للمصادقة، فيمكن لمستلم الرقم القديم المعاد تدويره محاولة تسجيل الدخول إلى حساب فيسبوك الذي لا يزال مرتبطًا بهذا الرقم. يتطلب القيام بذلك عمومًا كلمة مرور أيضًا.
لكن عدم وجودها لا يشكل بالضرورة عائقًا. فقد يكون رقم الهاتف كافيًا لإعادة تعيين كلمة المرور جديدة والوصول إليها على الرغم من المصادقة متعددة العوامل. عادةً، يتم إرسال إشعار للمستخدمين بتغيير كلمة المرور إلى عنوان البريد الإلكتروني المرتبط بحساباتهم.
وفي بعض عمليات تسجيل الدخول لتسجيل دخول جديد، يكون عنوان البريد الإلكتروني مطلوبًا أولاً، على الرغم من أنه ليس ضروريًا بعد ذلك. فبعد تقديم عنوان بريد إلكتروني والنقر على "متابعة تسجيل الدخول"، يمكن للمستخدم تقديم نفس عنوان البريد الإلكتروني أو رقم الهاتف لتلقي رمز التحقق لمرة واحدة الذي يتم إرساله في رسالة نصية تكمل عملية تسجيل الدخول. في هذه الحالة، يوفر التحكم في رقم الهاتف القديم الوصول إلى الحساب دون الحاجة إلى التحقق من صحة البريد الإلكتروني المتزامن.
ردُّ ميتا
حول هذا الموضوع، قالت ميتا إن هناك حالات تنتهي فيها صلاحية أرقام الهواتف، وتتم إتاحتها لشخص آخر غير المالك الأصلي. وإذا كان هذا الرقم لا يزال مرتبطًا بحساب المستخدم على فيسبوك، فيمكن للشخص الذي لديه هذا الرقم الآن أن يتولّى إدارة الحساب.
وعلى الرغم من أن هذا يثير القلق، إلا أن ميتا أشارت الى أنها لا يمكنها السيطرة على موفري الاتصالات الذين يعيدون إصدار أرقام الهواتف، أو على المستخدمين الذين لديهم رقم هاتف مرتبط بحساب "فيسبوك" وتخلوا عن الرقم.
من الواضح أن الشركات تتقاذف المسؤوليات ولا يمكنها تقديم حل جذري، لذلك يبقى الحل الوحيد لهذه المشكلة هو المستخدم نفسه. من هنا، احرص على فك ارتباط رقمك من جميع حساباتك قبل التخلي عنه، واربط الحسابات بالرقم الجديد.