مبتكر حساب @ihackedthegovernment على إنستغرام يتجنب عقوبة السجن بعد اختراق أنظمة أمريكية

تم إغلاق حساب @ihackedthegovernment الشهير على تطبيق Instagram رسمياً بعد اعتراف منشئه، وهو شاب يبلغ من العمر 25 عاماً من ولاية تينيسي، باختراق أنظمة حكومية أمريكية حساسة. تجنب نيكولاس مور عقوبة السجن وحُكم عليه بالمراقبة لمدة عام واحد بعد استخدامه بيانات تسجيل دخول مسروقة لاختراق نظام المحكمة العليا الأمريكية، ومؤسسة AmeriCorps، ونظام الرعاية الصحية التابع لإدارة شؤون المحاربين القدامى. وبدلاً من استغلال البيانات المسروقة مالياً، قام مور بنشر لقطات شاشة للمعلومات الشخصية للمستخدمين علناً على حسابه في منصة التواصل الاجتماعي.

حدثت عمليات الوصول غير المصرح بها التي قام بها مور بين شهري أغسطس وأكتوبر من عام 2023. ووفقاً لملفات المحكمة الحكومية، استخدم بيانات اعتماد مسروقة لتسجيل الدخول إلى نظام الإيداع الإلكتروني الخاص بالمحكمة العليا الأمريكية 25 مرة على الأقل، وكان يعود أحياناً إلى الموقع عدة مرات في نفس اليوم. وقد تمكن من الحصول على الاسم الكامل لأحد المستخدمين، وعنوان بريده الإلكتروني، ورقم هاتفه، وعنوان منزله، وتاريخ ميلاده، والإجابات الخاصة بثلاثة أسئلة أمنية. وفي تواريخ 29 يوليو، و18 أغسطس، و28 نوفمبر من عام 2023، نشر مور لقطات شاشة على حسابه في تطبيق Instagram، مما جعل اسم الضحية وقائمة بجميع سجلات الإيداع الإلكترونية الحالية والسابقة مرئية بوضوح للجمهور.

امتد كشف البيانات إلى ما هو أبعد من السلطة القضائية. فقد اخترق مور حساباً في منصة My AmeriCorps، ونشر علناً اسم المستخدم، وتاريخ ميلاده، وعنوان بريده الإلكتروني، وعنوان منزله، ورقم هاتفه، وحالة المواطنة، وحالة الخدمة العسكرية، وتاريخ الخدمة، والأرقام الأربعة الأخيرة من رقم الضمان الاجتماعي الخاص به. علاوة على ذلك، وصل إلى منصة My HealtheVet التابعة لإدارة شؤون المحاربين القدامى في خمسة أيام مختلفة باستخدام بيانات تسجيل دخول مسروقة لمحارب قديم في مشاة البحرية الأمريكية. وفي 13 أكتوبر 2023، كشف مور عن معلومات صحية يمكن تحديد هوية صاحبها، بما في ذلك الأدوية الموصوفة، وفصيلة الدم، وفرع الخدمة العسكرية.

خلال جلسة النطق بالحكم التي عُقدت عن بُعد، أعرب مور عن ندمه لقاضية المقاطعة الأمريكية بيريل هاول، قائلاً: "لقد ارتكبت خطأ. أنا آسف حقاً. أنا أحترم القوانين، وأريد أن أكون مواطناً صالحاً". لم تطلب الحكومة الأمريكية عقوبة السجن أو تعويضاً مالياً، مشيرة إلى أن ضحايا مور لم يتكبدوا خسائر مالية. ووصفه ممثلو الادعاء بأنه شاب ضعيف يعاني من إعاقات طويلة الأمد ومشاكل في الصحة العقلية، مؤكدين أنه تصرف في المقام الأول للتباهي أمام معارفه على الإنترنت وليس لتحقيق مكاسب مالية. وأصدرت القاضية هاول حكماً بالمراقبة لمدة 12 شهراً، مازحة بأن إمكاناته واضحة بالنظر إلى السهولة التي اخترق بها ثلاثة أنظمة حكومية.

نظراً لأن هذا الاختراق اعتمد كلياً على بيانات تسجيل الدخول المسروقة بدلاً من استغلال ثغرات اليوم الصفر (Zero-day) المعقدة، فإنه يسلط الضوء على الحاجة الماسة لأمن الحسابات الأساسي. يجب على المستخدمين والمؤسسات تنفيذ ضوابط وصول صارمة لمنع الدخول غير المصرح به.

• تفعيل المصادقة متعددة العوامل (MFA): اطلب دائماً طريقة تحقق ثانوية، مثل تطبيق مصادقة أو مفتاح أمان مادي، لمنع المهاجمين حتى لو حصلوا على كلمة المرور الخاصة بك.
• مراجعة الجلسات النشطة: تحقق بانتظام من إعدادات حسابك بحثاً عن جلسات تسجيل الدخول النشطة، وقم بإلغاء الوصول فوراً لأي أجهزة أو مواقع غير معروفة.
• استخدام كلمات مرور فريدة: استخدم مدير كلمات مرور مخصص لإنشاء وتخزين كلمات مرور معقدة وفريدة لكل خدمة، مما يضمن أن اختراق منصة واحدة لا يعرض المنصات الأخرى للخطر.

يسلط هذا الحدث الضوء على اتجاه متزايد ومثير للقلق في الأمن السيبراني الحديث: التحول من الجرائم السيبرانية ذات الدوافع المالية إلى الهندسة الاجتماعية المدفوعة بالتباهي. لم تكن أفعال مور مدفوعة بمدفوعات برمجيات الفدية أو بيع البيانات على شبكة الويب المظلم. بدلاً من ذلك، كان الهدف الأساسي هو الشهرة الرقمية، ويتضح ذلك من حياته الاجتماعية "السامة" على الإنترنت والتباهي الصارخ على منصة عامة. هذا الدافع النفسي يجعل نمذجة التهديدات صعبة بشكل متزايد للوكالات الحكومية، حيث يتصرف المهاجمون الذين يسعون لفت الانتباه غالباً بشكل غير متوقع مقارنة بأولئك الذين يسعون للربح.

إن حقيقة أن شاباً يبلغ من العمر 25 عاماً، وبإمكانيات مالية محدودة وخبرة عمل شبه معدومة، تمكن من الوصول مراراً وتكراراً إلى نظام الإيداع الإلكتروني الخاص بالمحكمة العليا الأمريكية ونظام الرعاية الصحية للمحاربين القدامى، تعد إدانة صارخة لضوابط الوصول الفيدرالية الحالية. وفي حين أوصت الحكومة بشروط مراقبة مثل مراقبة الكمبيوتر وحظر برامج إخفاء الهوية، فإن الاستنتاج الأوسع هو أن البنية التحتية الفيدرالية تظل عرضة بشكل كبير لهجمات حشو بيانات الاعتماد الأساسية وإساءة استخدام عمليات تسجيل الدخول المسروقة. وإلى أن يتم فرض بنية نموذج انعدام الثقة (Zero Trust) عالمياً عبر جميع البوابات الحكومية، سيستمر القراصنة الباحثون عن الشهرة في العثور على أهداف سهلة.