إنه نهاية السنة. وهذا يعني أن الوقت قد حان للاحتفال بأفضل قصص الأمن السيبراني التي لم ننشرها. منذ عام 2023، نظر موقع TechCrunch في أفضل القصص عبر المجالات من العام في مجال الأمن السيبراني.
إذا لم تكن على دراية، فإن الفكرة بسيطة. هناك الآن العشرات من الصحفيين الذين يغطيون الأمن السيبراني باللغة الإنجليزية. هناك الكثير من القصص حول الأمن السيبراني والخصوصية والمراقبة التي يتم نشرها كل أسبوع. والعديد منها رائع، ويجب عليك قراءتها. نحن هنا لنوصي بتلك التي أعجبتنا أكثر، لذا ضع في اعتبارك أن هذه قائمة ذات طابع شخصي للغاية، وفي نهاية المطاف، غير كاملة.
على أي حال، دعونا نبدأ. — لورينزو فرانشيسكي-بيكيري.
من حين لآخر، توجد قصة هاكر، وعندما تبدأ في قراءتها، تشعر أنها قد تكون فيلمًا أو برنامجًا تلفزيونيًا. هذه هي حالة القصة الشخصية جدًا لشين هاريس حول مراسلته التي استمرت عدة أشهر مع هاكر إيراني بارز.
في عام 2016، تواصل صحفي من The Atlantic مع شخص يدعي أنه يعمل كهاكر لصالح الاستخبارات الإيرانية، حيث ادعى أنه عمل في عمليات رئيسية، مثل إسقاط طائرة مسيرة أمريكية والاختراق الشهير الآن ضد عملاق النفط السعودي أرامكو، حيث قامت قراصنة إيرانيون بمسح أجهزة الكمبيوتر الخاصة بالشركة. كان هاريس متشككًا بحق، ولكن مع استمرار حديثه مع الهاكر، الذي كشف له في النهاية عن اسمه الحقيقي، بدأ هاريس يصدقه. عندما توفي الهاكر، استطاع هاريس تجميع القصة الحقيقية، التي اتضح أنها أكثر روعة مما جعل الهاكر هاريس يعتقد.
القصة المثيرة هي أيضًا نظرة رائعة خلف الكواليس على التحديات التي يواجهها صحافيو الأمن السيبراني عند التعامل مع مصادر تدعي أن لديها قصص رائعة لتشاركها.
في يناير، أصدرت الحكومة البريطانية سرًا أمرًا قضائيًا لشركة آبل يطالب الشركة ببناء “باب خلفي” حتى تتمكن الشرطة من الوصول إلى بيانات iCloud لأي عميل في العالم. بسبب أمر تقييد عالمي، لم نتعلم بوجود الطلب إلا بعد أن كشفت صحيفة Washington Post عن الأمر. كان هذا الطلب هو الأول من نوعه، وإذا تم تنفيذه، سيكون هزيمة كبيرة لشركات التكنولوجيا التي قضت العقد الماضي في عزل نفسها عن بيانات مستخدميها حتى لا يمكن إجبارها على تقديمها للحكومات.
وبناءً على ذلك، توقفت آبل عن تقديم تخزين سحابي مشفر من النهاية إلى النهاية للعملاء في المملكة المتحدة استجابةً لهذا الطلب. ولكن بعد أن تم تسريب الخبر، أصبح الأمر السري في دائرة الضوء العامة، مما سمح لكل من آبل والنقاد بفحص صلاحيات المراقبة في المملكة المتحدة بطريقة لم يتم اختبارها علانيًا من قبل. أثارت القصة جدلًا دبلوماسيًا استمر لأشهر بين المملكة المتحدة والولايات المتحدة، مما دفع 10 داونينغ ستريت للتخلي عن الطلب – فقط لتجربته مرة أخرى بعد عدة أشهر.
كانت هذه القصة هي نوع الوصول الذي يحلم به بعض الصحفيين، ولكن رئيس تحرير The Atlantic تمكن من تجربته في الوقت الفعلي بعد أن تم إضافته عن غير قصد إلى مجموعة Signal تضم كبار المسؤولين الحكوميين الأمريكيين من قبل مسؤول حكومي أمريكي يناقش خطط الحرب من هواتفهم المحمولة.
كانت قراءة المناقشة حول المكان الذي يجب أن تسقط فيه القوات العسكرية الأمريكية القنابل – ورؤية التقارير الإخبارية التي تفيد بسقوط الصواريخ على الجانب الآخر من العالم – هي تأكيد لجيفري جولدبرغ بأنه كان، كما كان يشتبه، في دردشة حقيقية مع مسؤولي إدارة ترامب الحقيقيين، وكان كل هذا مسجلًا ويمكن الإبلاغ عنه.
وبذلك، مهد الطريق لتحقيق (ونقد) استمر لعدة أشهر حول ممارسات الأمن التشغيلي الحكومية، في ما أطلق عليه أكبر خطأ في OPSEC الحكومي في التاريخ. أدى تفكيك الوضع في النهاية إلى كشف الثغرات الأمنية التي تشمل استخدام نسخة مزيفة من Signal، مما زاد من تعريض الاتصالات المفترض أنها آمنة للخطر.
براين كريبس هو واحد من أكثر الصحفيين المخضرمين في مجال الأمن السيبراني، وعلى مدى سنوات، تخصص في متابعة البصمات الرقمية التي قادته إلى الكشف عن هوية مجرمين سيبرانيين معروفين. في هذه الحالة، استطاع كريبس العثور على الهوية الحقيقية وراء المعرف الرقمي لهاكر يُدعى “راي”، الذي هو جزء من مجموعة جرائم إلكترونية للشباب المتطورين المعروفة باسم “Scattered LAPSUS$ Hunters”.
وكانت رحلة كريبس ناجحة جدًا لدرجة أنه تمكن من التحدث إلى شخص قريب جدًا من الهاكر – لن نكشف عن المقال كاملاً هنا – ثم إلى الهاكر نفسه، الذي اعترف بجرائمه وزعم أنه كان يحاول الهروب من حياة الجرائم السيبرانية.
حققت الوسيلة الإعلامية المستقلة 404 ميديا تأثيرًا أكبر هذا العام من معظم وسائل الإعلام السائدة التي تمتلك موارد أكبر بكثير. واحدة من أكبر انتصاراتها كانت الكشف عن نظام مراقبة ضخم للسفر الجوي تم التحقق منه من قبل الوكالات الفيدرالية ويعمل في العلن.
أبلغت 404 ميديا أن سمسار بيانات غير معروف تم إنشاؤه من قبل صناعة الطيران يُدعى “الشركة الوطنية للإبلاغ عن شركات الطيران” كان يبيع إمكانية الوصول إلى خمسة مليارات تذكرة طيران ومسارات سفر، بما في ذلك أسماء وتفاصيل مالية عن الأمريكيين العاديين، مما يتيح للوكالات الحكومية مثل ICE ووزارة الخارجية وIRS تتبع الأفراد دون مذكرة.
قالت ARC، التي تمتلكها شركات United وAmerican وDelta وSouthwest وJetBlue وغيرها، إنها ستغلق برنامج البيانات غير المذكراتي بعد تقارير 404 ميديا التي استمرت لعدة أشهر والضغط الشديد من المشرعين.
كانت جريمة قتل الرئيس التنفيذي لشركة UnitedHealthcare، براين تومسون، في ديسمبر 2024 واحدة من أكبر القصص لهذا العام. لويجي مانجيوني، المشتبه الرئيسي في القتل، تم اعتقاله بعد ذلك ووجهت إليه اتهامات بتهمة استخدام “مسدس شبح”، وهو سلاح ناري مطبوع ثلاثي الأبعاد ليس له أرقام تسلسلية وتم تصنيعه في الخصوص دون فحص خلفية – وهو بفعالية سلاح لا تعرف الحكومة بوجوده.
سعت Wired، باستخدام تجربتها السابقة في تقرير عن الأسلحة المطبوعة ثلاثية الأبعاد، لاختبار مدى سهولة بناء مسدس مطبوع ثلاثي الأبعاد، في حين أنها تتنقل عبر المشهد القانوني (والأخلاقي) المتقطع. كانت عملية التغطية مروعة ومشوقة، والفيديو الذي يأتي مع القصة ممتاز ومرعب.
كانت تجربة DOGE، أو إدارة كفاءة الحكومة، واحدة من أكبر القصص المستمرة لهذا العام، حيث اجتاحت مجموعة من تابعين إيلون ماسك الحكومة الفيدرالية، محطمة بروتوكولات الأمان والعوائق، كجزء من عملية جمع البيانات الضخمة عن المواطنين. كانت NPR قد أجرت بعضًا من أفضل تقارير التحقيق حول حركة المقاومة من الموظفين الفيدراليين الذين حاولوا منع سلب البيانات الأكثر حساسية للحكومة.
في إحدى القصص التي تتفصل فيها إفادة أحد المخبرين كما تم مشاركتها مع أعضاء الكونغرس، أخبر موظف تكنولوجيا المعلومات الكبير في المجلس الوطني لعلاقات العمل المشرعين أنه عندما كان يسعى للحصول على مساعدة للتحقيق في نشاط DOGE، “وجد رسالة مطبوعة في ظرف ملصق على بابه، التي تضمنت لغة تهديدية ومعلومات شخصية حساسة وصورًا علوية له أثناء مشيه مع كلبه، وفقًا للخطاب المرفق بالإفصاح الرسمي الخاص به.”
أي قصة تبدأ بقول صحفي إنه وجد شيئًا جعله “يشعر بأنه سيخرج يده من سرواله”، تعرف أنها ستكون قراءة ممتعة. وجد غابرييل جيغر مجموعة بيانات من شركة مراقبة غامضة تُدعى First Wap، والتي تحتوي على سجلات لآلاف الأشخاص من جميع أنحاء العالم الذين تم تتبع مواقع هواتفهم.
سمحت مجموعة البيانات، التي تغطي الفترة من 2007 إلى 2015، لجيغر بتحديد العشرات من الشخصيات البارزة التي تم تتبع هواتفها، بما في ذلك السيدة الأولى السابقة لسوريا، ورئيس مقاول عسكري خاص، وممثل هوليوودي، وخصم للبابوية. استكشفت هذه القصة العالم الظل للمراقبة الهاتفية من خلال استغلال نظام الإشارة رقم 7، أو SS7، وهو بروتوكول غير معروف طويلاً يسمح بتتبع ضار.
كان “السواتينغ” مشكلة لسنوات. ما بدأ كدعابة سيئة أصبح تهديدًا حقيقيًا، مما أسفر عن وفاة واحدة على الأقل. السواتينغ هو نوع من المحتالين حيث يقوم شخص — غالبًا ما يكون هاكر — بالاتصال بخدمات الطوارئ وخداع السلطات لإرسال فريق SWAT مسلح إلى منزل_target_المحتال، غالبًا ما يتظاهر بأنه الهدف نفسه، ويتظاهر بأنه على وشك ارتكاب جريمة عنيفة.
في هذا التقرير، وضع آندي غرينبرغ من Wired وجهًا على العديد من الشخصيات التي هي جزء من هذه القصص مثل مشغلي الهاتف الذين يجب أن يتعاملوا مع هذه المشكلة. كما قام أيضًا بتقديم ملف توضيحي لسواتر بارع، معروف باسم Torswats، الذي لعدة أشهر كان يرعب المشغلين والمدارس في جميع أنحاء البلاد بتهديدات عنف مزيفة — ولكن مقنعة للغاية — بالإضافة إلى هاكر أخذ على عاتقه تتبع Torswats.