في مقالة سابقة بعنوان (كلوب هاوس.. إشكاليات الأمن والخصوصية) تناولنا إشكاليات الخصوصية والأمن الرقمي المتوفّر في تطبيق كلوب هاوس (Clubhouse).
طبيعة عمل التطبيق أتاحت آلية للتواصل الصوتي يمكن بواسطته الانخراط في نقاشات ووجهات نظر حول مواضيع مختلفة والتفاعل معها، إضافة إلى الحرية والسهولة التي يمنحها التطبيق في إنشاء الغرف وتناول الموضوعات السياسية والدينية والجنسانية والجنسية، والتي تُعدّ تابوهات في عدد من المجتمعات والدول، ما دفع الكثير من مستخدمات ومستخدمي التطبيق إلى اللجوء للتخفي وعدم إظهار هويتهم الحقيقية، بواسطة استخدام صور رمزية بدل الصور الشخصية واستخدام أسماء وهمية بدل أسمائهم الحقيقية. لكن يبقى السؤال الأهم، هل اخفاء الصورة الشخصية والتخفي وراء أسماء وهمية كفيل بعدم التعرف على الأشخاص وعدم كشف هويتهم في كلوب هاوس؟
عمومًا، يساعد عدم استخدام البيانات والصور الشخصية في كلوب هاوس – كذلك في جميع منصات وسائل التواصل الاجتماعي الأخرى- على عدم التعرف المباشر على الأشخاص، أما عن جدوى الأمر في حماية صاحبات وأصحاب الحسابات من كشف هويتهم؛ فيجدر بنا الحديث عن الطرق التي يمكن من خلالها الحصول على معلومات وبيانات من شأنها كشف هُوِيَّة حساب كلوب هاوس أو غيره من وسائل التواصل الاجتماعي.
مخاطر حول هويّة الحسابات
كلوب هاوس، مثل باقي التطبيقات والخدمات التي يستخدمها الأفراد في التواصل أو في أنشطتهم في المجال العام، يُمكن أن يؤدي إهمال مُستخدميه في الحفاظ على أمنهم وخصوصيتهم الرقمية إلى تعريض بياناتهم المُخزّنة على حساباتهم إلى خطر التسريب، بما في ذلك حالة استخدام حساب مُجهَّل الهُوِيَّة أو مُزيّف، وفيما يلي بعض المخاطر:
- تحديد الموقع الجغرافي للحساب، حتى إن كان بعض المستخدمات والمستخدمين يعتمدوا على معلومات مُزيّفة لإنشاء حساباتهم على كلوب هاوس؛ يُمكن أن يُحدّد موقعهم الجغرافي عبر معرفة عنوان بروتوكول الإنترنت (IP Address) الخاص بالجهاز، حيث يمكن الحصول عليه بواسطة عدة طرق، ومن خلال معرفة عنوان بروتوكول الإنترنت يمكن تحديد المنطقة الجغرافية التي يتم منها وصول الجهاز إلى الإنترنت. أما إذا كان الاستهداف من قِبل حكومات أو عن طريق تواطؤ شركات تقديم خدمة الإنترنت؛ في هذه الحالة يمكن استخراج العنوان التفصيلي الذي يوجد فيه المستخدم.
- الروابط الخبيثة، التي يُمكن أن تأخذ عدة أشكال وتكتيكات للحصول على بيانات ومعلومات المستخدمات والمستخدمين. على سبيل المثال، بواسطة ارسال رابط خبيث للحساب المطلوب، عند تفاعل أو ضغط الضحية على الرابط يمكن للجهة المُهاجِمة الحصول على بيانات شخصية، ويمكن للروابط الخبيثة أن تكون عبر تزييف صفحات واستخدام تكتيكات الهندسة الاجتماعية أو عبر روابط تحتوي برمجيات خبيثة. وفي أحيان أخرى ربما تتسبب بعض الروابط الخبيثة في تسريب البيانات التي تكون محفوظة داخل متصفح الإنترنت ويتم استخدامها في عملية الملء التلقائي (Auto Fill) في المواقع الإلكترونية.
- في حالات مُتقدّمة من التجسس، يمكن للجهة المُهاجِمة الوصول إلى كافة محتويات الجهاز (هاتف أو حاسوب) بواسطة اختراق جهاز الضحية، عبر واحدة من برمجيات التجسس التي أصبح استخدامها منتشر للغاية من قِبل الحكومات (مثل منتجات شركة NSO على سبيل المثال)، هذه النوعية من البرمجيات يُمكن أن تؤدي إلى تحكم كامل بالجهاز بما في ذلك الوصول إلى الملفات والصور والموقع الجغرافي (GPS) إضافة إلى التحكم في كاميرا وميكروفون الجهاز.
- يمكن تحديد هُوِيَّة الحسابات أو الأشخاص بواسطة الاستعانة بالبرامج والأدوات التي تعمل على تحليل الصوت والتعرف على “البصمة الصوتية” ومطابقتها مع قاعدة بيانات تحتوي الكثير من البصمات الصوتية التي يتم جمعها بطرق عدّة، خاصة مع ازدياد انتشار المقاطع الصوتية والفيديو على الإنترنت عمومًا ووسائل التواصل الاجتماعي خصوصًا.
- تلجأ بعض الجهات والحكومات إلى استخدام نفوذها وعلاقاتها للوصول إلى بيانات الحسابات، ذلك بواسطة أحد العاملات أو العاملين في الشركات التقنية وشركات التواصل الاجتماعي ذاتها. كما حدث عندما قام موظفون في شركة تويتر Twiter بتزويد المملكة العربية السعودية ببيانات حسابات من ضمنهم حسابات لمعارضين سعوديين.
- من ناحية أخرى، تتجه بعض الحكومات إلى التواصل مع الشركات التقنية مثل شركات التواصل الاجتماعي لطلب بيانات وتفاصيل عن عدد من الحسابات. أما تجاوب الشركات مع هذه الطلبات فهو يعود إلى سياسة الشركة إضافة إلى اقتناعها بأحقية الطلبات المقدمة من الحكومة.
هل يمكننا حماية أنفسنا من كشف هويتنا وحماية خصوصيتنا؟
عمومًا، لا يوجد أمن تام على الإنترنت، كل الأنظمة والخدمات مُعرّضة للاختراق، ولا يمكن الوصول إلى حالة من التأمين الكامل لأي من الأجهزة أو البرمجيات، مع ذلك فإننا نُوصي بمجموعة من الأدوات والسلوكيات التي من شأنها أن تساعد في زيادة الخصوصية وزيادة الحماية من التعقب على الإنترنت:
اختيار كلمة المرور، يجب أن تستخدم كلمة مرور قوية تحتوي على رموز وأرقام وحروف كبيرة وصغيرة، ونوصي باستخدام واحدة من برمجيات إدارة كلمات المرور مثل KeePassXC.
- لا تُسجل حساب كلوب هاوس باستخدام حساباتك في الشبكات الاجتماعية أو الخدمات الأخرى، لكن قم بإنشاء الحساب بنفسك.
- يُمكن أن يؤدي استخدام رقم هاتف مختلف عن رقمك الأساسي في المزيد من المجهولية، خاصة إن كانت القوانين المحلية لا تتطلب تقديم معلومات شخصية للحصول على بطاقة هاتف (Sim Card).
- عدم التفاعل مع أي رابط، ملف مضغوط، صورة أو فيديو يصل كرسالة نصية (SMS) أو رسالة على أي من تطبيقات التواصل، خاصة من الحسابات غير المعروفة لك، أو الرسائل التي تصل دون سياق منطقي، حيث يمكن أن تصل لك رسالة من حساب مُخترّق لأحد الصديقات أو الأصدقاء أو الأقارب أو الشخصيات العامة.
- استخدام اضافات لمتصفح الإنترنت تساعد في الحماية من التتبع، مثل: ublock origin – Privacy Badger
- استخدام التصفح الخفي.
- استخدام متصفح TOR.
- تفعيل “المصادقة الثنائية” على جميع الحسابات والمنصات التي تتيح ذلك.
- عدم حفظ بيانات دخول الحسابات، اسم المستخدم وكلمة السر، والبيانات الشخصية داخل المتصفح.
- استخدام (VPN) على جميع أجهزة الحواسيب والهواتف والأجهزة اللوحية وعلى جميع أنظمة التشغيل، ويندوز وماك ولينكس وأندرويد وآي أو إس، مع ضرورة تفعيل ميزة (Kill Switch). التي تقوم بقطع الإنترنت عن الجهاز في حال فشل اتصال الـ(VPN) أو عدم عمله.
فيما يلي بعض شركات الVPN التي يمكن استخدامها:
- بروتون Proton VPN – يتيح اشتراكات مجانية وأخرى مدفوعة.
- TunnelBear – يتيح اشتراكات مجانية (بسعة محدودة)، وأخرى مدفوعة.
- مولفاد Mullvad – يتيح اشتراكات مدفوعة فقط.
- نورد NordVPN – يتيح اشتراكات مدفوعة فقط.
قبل استخدام VPN
- يجب مراجعة القوانين المحلية حيث تقيمون للتأكد من قانونية استخدامه.
- يُنصح في عدد من الدول تحديد السيرفر الذي سيتصل به الـ (VPN) يدوي.
فيما سبق، بعض الطرق والآليات التي يمكن استخدامها لكشف هوية الحسابات والأشخاص على شبكات التواصل الاجتماعي إن كان من قِبل الحكومات أو الأفراد. أما الخطر الأكبر فهو يكمن في أي عملية اختراق أو تسريب بيانات تتعرض لها شركات التواصل الاجتماعي نفسها، خاصة إذا ما كانت الشركة تقوم بتجميع بيانات الحسابات في مكان واحد بما في ذلك اسم الحساب ورقم الهاتف وعنوان البريد الإلكتروني. هذا ما حدث خلال الأشهر السابقة حين تم تسريب قاعدة بيانات تحتوي بيانات أكثر من نصف مليار حساب فيسبوك، حيث تضمن التسريب بيانات من بينها أسماء وأرقام هواتف والبريد الإلكتروني للحسابات. كذلك قبل عدة سنوات حين تعرضت منصة لينكد إن (LinkedIn) إلى عملية تسريب حيث تم نشر عناوين البريد الإلكتروني وكلمات السر لـ 164 مليون حساب. إضافة إلى قائمة بمئات عمليات الاختراق والتسريبات التي حدثت، والتي يمكن الوصول لها عن طريق موقع Have I Been Pwned.