إن كنت أحد مستخدمي الـGmail، فمن المُرجّح أن جوجل تمتلك مفاتيح حياتك الرقمية.
تمتلئ حسابات الـGmail بالعديد من الرسائل الإلكترونية والصور والوثائق، ويمكن أيضاً الدخول إلى حسابي Facebook و Twitter من خلال إعادة تعيين كلمة المرور، ويعد كل هذا بمثابة النعيم لقراصنة الإنترنت إذا ما تمكنوا من الوصول إليه.
يحذر أحد الخبراء من طلب جوجل للمستخدمين إدخال أرقام الهواتف الخاصة بهم نظراً لخطورتها كونها تجعل حسابات الـGmail أكثر عرضة للاختراق، وذلك في حالة عدم استمرار المستخدمين من أجل تفعيل المصادقة متعددة الخطوات.
كتب فيجاي باندورانجان، المهندس السابق بشركتي جوجل وتويتر ويعمل الآن بشركة Benchmark، خلال مقاله في موقع Medium post عن هذا قائلاً "إن القراصنة الإلكترونيين تمكنوا من السيطرة على حساب زميل سابق لي –وقد استخدم باندورانجان اسم بوب في إشارة منه لزميله السابق– من خلال رقم الهاتف الخاص به"، فيما رفضت جوجل التعليق.
يتحدث باندورانجان عن الحذر الكبير الذي يبديه بوب فيما يتعلق بخصوصيته على شبكة الإنترنت.
وعلى الرغم من عدم تفعيله للمصادقة متعددة الخطوات، فقد استخدم بوب كلمة مرور قوية وبريداً إلكترونياً مستقلاً من أجل عملية الاسترجاع وأسئلة أمنية يصعب تخمينها وإرفاق رقم الهاتف بالحساب، بناء على نصيحة جوجل نفسها.
وأضاف باندورانجان أنه في يوم 1 أكتوبر/تشرين الأول 2016، وبعد غيابه عن تفقد هاتفه لمدة ساعتين، وجد نفسه غير قادر على الدخول لحساب الـGmail الخاص به.
وعندما حاول الدخول لحسابه مرة أخرى، اكتشف بوب أن كلمة المرور الخاصة بحسابه قد تغيرت، ثم اكتشف بعد ذلك أن الخدمة قد انقطعت عن هاتفه.
يقول باندورانجان إن المتسلل تمكن من إقناع Verizon، وهو اسم شركة الاتصالات التي يتعامل معها بوب، بنقل حساب الهاتف الجوال الخاص ببوب إلى هاتف الشخص المتسلل دون طلب رمز الحماية الخاص ببوب.
لم تجب Verizon على طلب HuffPost للرد على تلك المسألة.
إذا خرجت من "Gmail" فيمكنك الدخول مرة أخرى عن طريق طلب رمز خاص بك يُرسل لك عن طريق هاتفك الخاص، هذا ما فعله المتسلل وفقاً لباندورانجان، وذلك لأن حساب Verizon الخاص بـ "بوب" كان مُسجلاً على هاتف الشخص المتسلل وبالتالي فقد تلقى الرمز بدلاً من بوب واستخدمه للدخول لحساب بوب.
ومن ثم قام الشخص المتسلل بإزالة كلمة السر الخاصة بـ "بوب"، فضلاً عن البريد الإلكتروني الاحتياطي، مما يعني أنه لم يعد لديه وسيلة لاستعادة بريده الإلكتروني.
وبحسب ما قاله باندورانجان، استعاد بوب بريده الإلكتروني بعد التحدث لأحد أفراد فريق الدعم العملاء وبعض الزملاء السابقين الذين كان يعمل معهم في جوجل.
قال باندورانجان إن جوجل فشلت في إدراج هذا السلوك باعتباره أمراً يدعو للشك: إن هذا النمط يبدو مثل البرامج الأمنية التي يجب عليها توفير القدرة للكشف عن هذا النوع من الاختراقات: فإن إعادة ضبط كلمة المرور في ظل نقص المعلومات وتليها مباشرةً تغيير البريد الإلكتروني الاحتياطي والاسم وضبط تقنية المصادقة مزدوجة العنصرين مصحوباً بطلب مساعدة مكتوب فيه "تم اختراق حسابي" يعتبر أمراً مريباً للغاية.
كان هافينغتون بوست قادراً على تكرار هذه العملية بدون إثارة أية شكوك.
قال باندورانجان "إن شركات الاتصالات يمكن أن تكون سيئة جداً في تأمين خصوصيتك"، مشيراً لفضيحة قرصنة الهواتف و"لا ينبغي الوثوق بها".
وحث المستخدمين على تفعيل تقنية المصادقة مزدوجة العنصرين والتطبيقات مثل تطبيق Google Authenticator أو تطبيق Duo وذلك لتعزيز الأمن.
ويُنصح المستخدمين بعدم إدراج أرقام هواتفهم الاحتياطية في توقيعات البريد الإلكتروني الخاصة بهم.