في 3 أكتوبر، نشر @darengb على منصة التواصل الاجتماعي يُذكر أن جميع المفاتيح التي يملكها المستخدم على friends.tech ومفاتيح المستخدم الموجودة في حسابات الآخرين قد تم بيعها، وتم استنفاد ما تبقى من ETH في محفظة المستخدم. وأضاف @darengb: "إذا تم الكشف عن حسابك على تويتر وتم العثور على اسمك الحقيقي، فسيتم العثور على رقم هاتفك، وهو ما قد يحدث لك".
** تمت سرقة بطاقة SIM من قبل المتسللين **
تم البحث عن الاسم الحقيقي ورقم الهاتف من حساب تويتر، ومن ثم تمت سرقة مفتاح حساب friends.tech، والمنطق وراء ذلك هو أن بطاقة SIM المرتبطة بالمستخدم تمت سرقتها من قبل المتسللين.
قام @darengb أيضًا بتفصيل كيفية سرقة موقع friends.tech في تغريدة له، "في وقت سابق من اليوم، بدأت أتلقى رسائل غير مرغوب فيها كل دقيقة، مما جعلني أضع هاتفي على الوضع الصامت (أعتقد أن هذا هو الهدف)، لذلك لم أر رسالة نصية من Verizon تخبرني أن شخصًا ما كان يحاول الوصول إلى حسابي. حدث ذلك بسرعة كبيرة ولم تمنحني Verizon أي وقت للرد. فتحت FriendTech، معتقدًا أن هناك خطأ لأن غرفة الدردشة الخاصة بي كانت فارغة، حاولت التحقق من Octav ورأيت تغريدات أشخاص آخرين على FT حول تبديل بطاقة SIM، وذلك عندما أدركت ما كان يحدث."
أثار هذا الحادث أيضًا تعليقات ساخنة من المجتمع، حيث نشر @IncomeSharks، "حدث نفس الشيء لي، أرسل لي هؤلاء الأشخاص رسائل غير مرغوب فيها أولاً. لأن عامل الهاتف لن ينتظرني حتى أوافق على الطلب، لذلك إذا كنت في العاشرة من عمري "لا يوجد رد في غضون دقائق وسيوافقون على مبادلة بطاقة SIM. إنه أمر سيء للغاية بالنسبة لمشغلي الهاتف المحمول! لا ينبغي أن يمثل مبادلة بطاقة SIM مشكلة."
قال @AloshyAkasoto، "هذه ليست مجرد مشكلة تتعلق بـ friends.tech، ولكن أيضًا لأن موفر المحفظة الخاص بهم يسمح للمستخدمين بالتسجيل باستخدام أرقام هواتفهم. لسوء الحظ، أرقام الهواتف هي الحلقة الأضعف في أمان الشبكة. قد توجد نفس الثغرة الأمنية في التطبيقات اللامركزية التي تستخدم privy كموفر للمحفظة."
** قد يكون التحقق من Verizon SMS بمثابة ثغرة أمنية **
ومع ذلك، في وقت مبكر من 18 سبتمبر، قال @Montana_Wong في تغريدة: "أنا من محبي friends.tech، لكنني أخشى الاحتفاظ بالأموال هناك. لأن 1. رصيد محفظتك هو معلومات عامة 2. يستخدم الرسائل القصيرة للمصادقة. مع وجود رصيد مرتفع بما فيه الكفاية، تصبح هدفًا لمبادلة بطاقة SIM...سوف يتخلص المتسللون من المفاتيح التي تحملها ويسحبون دولاراتك."
صناعة وصلات الاتصالات التي تدعم friends.tech هي Verizon. حصلت Verizon على موافقة براءة الاختراع من مكتب براءات الاختراع والعلامات التجارية الأمريكي في عام 2019، والتي تشير إلى نظام بيانات يتعلق بـ blockchain وبطاقات SIM الافتراضية. ووفقا لوثيقة براءة الاختراع، سيوفر النظام حساب مستخدم خاص لبطاقة SIM الافتراضية (vSIM) ويقوم بتنشيط بطاقة SIM على الجهاز. بعد تفعيل بطاقة SIM، سيتم نشر رسالة على شبكة blockchain لتأكيد التنشيط.
في يناير من العام الماضي، أظهرت معلومات توظيف مدير شركاء Verizon المنشورة على LinkedIn أن الشركة تخطط لدخول مجالات مثل NFT وWeb 3 وMetaverse. ردًا على حادثة تبديل بطاقة SIM هذه، ذكر @CryptoWithNick أن Verizon طبقت ميزة جديدة "Num Lock" لمكافحة تبديل بطاقة SIM.
ومع ذلك، لا يزال أعضاء المجتمع يعربون عن شكوكهم حول هذا الأمر، حيث نشر @wholeisticguy، "العملية والتكنولوجيا غير آمنة بالأساس ولا يمكن لأحد أن يضمن ذلك. الرسائل النصية وبطاقة SIM الخاصة بك ورقم هاتفك ليست آمنة وغير مضمونة. لا تستخدمها أبدًا". هذه لحماية أي شيء، أي شيء يستخدمها ليكون آمنًا هو غير آمن."
شهد Vitalik أيضًا تجربة تبديل بطاقة SIM من قبل
يبدو أن الخسائر الناجمة عن مبادلة بطاقة SIM ليست جديدة، فقد ذكرت شركة BlockBeats يوم 10 سبتمبر أن حساب تويتر الخاص بـ Ethereum Lianchuang Vitalik قد تم اختراقه ونشر روابط التصيد الاحتيالي. وفقًا لـ ZachXBT، سرق المتسللون ما مجموعه حوالي 691000 دولار. في 12 سبتمبر، نشر فيتاليك على وسائل التواصل الاجتماعي أنه استعاد حسابه على T-mobile وأكد أن الهجوم السابق كان عبارة عن هجوم مبادلة بطاقة SIM.
وأوضح فيتاليك أنه في حالة من المتوقع حاليًا أنه تم تسريب رقم الهاتف المحمول عند التسجيل في Twitter Blue.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تمت مهاجمة مستخدم Friend.tech. هل يعد التحقق عبر الرسائل القصيرة من Verizon ثغرة أمنية؟
المصدر: بلوك جروف
في 3 أكتوبر، نشر @darengb على منصة التواصل الاجتماعي يُذكر أن جميع المفاتيح التي يملكها المستخدم على friends.tech ومفاتيح المستخدم الموجودة في حسابات الآخرين قد تم بيعها، وتم استنفاد ما تبقى من ETH في محفظة المستخدم. وأضاف @darengb: "إذا تم الكشف عن حسابك على تويتر وتم العثور على اسمك الحقيقي، فسيتم العثور على رقم هاتفك، وهو ما قد يحدث لك".
** تمت سرقة بطاقة SIM من قبل المتسللين **
تم البحث عن الاسم الحقيقي ورقم الهاتف من حساب تويتر، ومن ثم تمت سرقة مفتاح حساب friends.tech، والمنطق وراء ذلك هو أن بطاقة SIM المرتبطة بالمستخدم تمت سرقتها من قبل المتسللين.
قام @darengb أيضًا بتفصيل كيفية سرقة موقع friends.tech في تغريدة له، "في وقت سابق من اليوم، بدأت أتلقى رسائل غير مرغوب فيها كل دقيقة، مما جعلني أضع هاتفي على الوضع الصامت (أعتقد أن هذا هو الهدف)، لذلك لم أر رسالة نصية من Verizon تخبرني أن شخصًا ما كان يحاول الوصول إلى حسابي. حدث ذلك بسرعة كبيرة ولم تمنحني Verizon أي وقت للرد. فتحت FriendTech، معتقدًا أن هناك خطأ لأن غرفة الدردشة الخاصة بي كانت فارغة، حاولت التحقق من Octav ورأيت تغريدات أشخاص آخرين على FT حول تبديل بطاقة SIM، وذلك عندما أدركت ما كان يحدث."
أثار هذا الحادث أيضًا تعليقات ساخنة من المجتمع، حيث نشر @IncomeSharks، "حدث نفس الشيء لي، أرسل لي هؤلاء الأشخاص رسائل غير مرغوب فيها أولاً. لأن عامل الهاتف لن ينتظرني حتى أوافق على الطلب، لذلك إذا كنت في العاشرة من عمري "لا يوجد رد في غضون دقائق وسيوافقون على مبادلة بطاقة SIM. إنه أمر سيء للغاية بالنسبة لمشغلي الهاتف المحمول! لا ينبغي أن يمثل مبادلة بطاقة SIM مشكلة."
قال @AloshyAkasoto، "هذه ليست مجرد مشكلة تتعلق بـ friends.tech، ولكن أيضًا لأن موفر المحفظة الخاص بهم يسمح للمستخدمين بالتسجيل باستخدام أرقام هواتفهم. لسوء الحظ، أرقام الهواتف هي الحلقة الأضعف في أمان الشبكة. قد توجد نفس الثغرة الأمنية في التطبيقات اللامركزية التي تستخدم privy كموفر للمحفظة."
** قد يكون التحقق من Verizon SMS بمثابة ثغرة أمنية **
ومع ذلك، في وقت مبكر من 18 سبتمبر، قال @Montana_Wong في تغريدة: "أنا من محبي friends.tech، لكنني أخشى الاحتفاظ بالأموال هناك. لأن 1. رصيد محفظتك هو معلومات عامة 2. يستخدم الرسائل القصيرة للمصادقة. مع وجود رصيد مرتفع بما فيه الكفاية، تصبح هدفًا لمبادلة بطاقة SIM...سوف يتخلص المتسللون من المفاتيح التي تحملها ويسحبون دولاراتك."
صناعة وصلات الاتصالات التي تدعم friends.tech هي Verizon. حصلت Verizon على موافقة براءة الاختراع من مكتب براءات الاختراع والعلامات التجارية الأمريكي في عام 2019، والتي تشير إلى نظام بيانات يتعلق بـ blockchain وبطاقات SIM الافتراضية. ووفقا لوثيقة براءة الاختراع، سيوفر النظام حساب مستخدم خاص لبطاقة SIM الافتراضية (vSIM) ويقوم بتنشيط بطاقة SIM على الجهاز. بعد تفعيل بطاقة SIM، سيتم نشر رسالة على شبكة blockchain لتأكيد التنشيط.
في يناير من العام الماضي، أظهرت معلومات توظيف مدير شركاء Verizon المنشورة على LinkedIn أن الشركة تخطط لدخول مجالات مثل NFT وWeb 3 وMetaverse. ردًا على حادثة تبديل بطاقة SIM هذه، ذكر @CryptoWithNick أن Verizon طبقت ميزة جديدة "Num Lock" لمكافحة تبديل بطاقة SIM.
ومع ذلك، لا يزال أعضاء المجتمع يعربون عن شكوكهم حول هذا الأمر، حيث نشر @wholeisticguy، "العملية والتكنولوجيا غير آمنة بالأساس ولا يمكن لأحد أن يضمن ذلك. الرسائل النصية وبطاقة SIM الخاصة بك ورقم هاتفك ليست آمنة وغير مضمونة. لا تستخدمها أبدًا". هذه لحماية أي شيء، أي شيء يستخدمها ليكون آمنًا هو غير آمن."
شهد Vitalik أيضًا تجربة تبديل بطاقة SIM من قبل
يبدو أن الخسائر الناجمة عن مبادلة بطاقة SIM ليست جديدة، فقد ذكرت شركة BlockBeats يوم 10 سبتمبر أن حساب تويتر الخاص بـ Ethereum Lianchuang Vitalik قد تم اختراقه ونشر روابط التصيد الاحتيالي. وفقًا لـ ZachXBT، سرق المتسللون ما مجموعه حوالي 691000 دولار. في 12 سبتمبر، نشر فيتاليك على وسائل التواصل الاجتماعي أنه استعاد حسابه على T-mobile وأكد أن الهجوم السابق كان عبارة عن هجوم مبادلة بطاقة SIM.
وأوضح فيتاليك أنه في حالة من المتوقع حاليًا أنه تم تسريب رقم الهاتف المحمول عند التسجيل في Twitter Blue.