مجموعه ای از تکان دهنده ترین داستان های امنیت سایبری سال که به بررسی نفوذهای پیچیده، افشای داده های دولتی و چالش های حریم خصوصی در دنیای دیجیتال می پردازند.
آخر ساله. این یعنی وقتش رسیده بهترین داستان های امنیت سایبری رو که خودمون منتشر نکردیم، جشن بگیریم. از سال 1402، تک کرانچ نگاهی به بهترین خبرهای سال در حوزه امنیت سایبری انداخته.
اگه با این روال آشنا نیستید، ایده خیلی ساده ست. الان ده ها خبرنگار وجود دارن که به زبان انگلیسی در مورد امنیت سایبری می نویسن. هر هفته کلی داستان درباره امنیت سایبری، حریم خصوصی و نظارت منتشر می شه. خیلی از اون ها فوق العاده هستن و حتما باید بخونیدشون. ما اینجاییم تا اون داستان های امنیت سایبری رو که بیشتر از همه پسندیدیم بهتون پیشنهاد بدیم؛ پس یادتون باشه که این یه لیست کاملا سلیقه ای و در نهایت ناتمامه.
به هر حال، بیاید بریم سراغ اصل مطلب. لورنزو فرانچسکی-بیکی رای.
شین هریس توضیح می د ه که چطور با یه هکر ارشد ایرانی به عنوان منبع ارتباط برقرار کرد، هکری که بعدا کشته شد
هر از چند گاهی، یه داستان هکری پیدا می شه که به محض شروع به خوندنش، فکر می کنید می تونه یه فیلم یا سریال تلویزیونی باشه. این همون ماجرای خیلی شخصی شین هریس از ماه ها مکاتبه ش با یه هکر سطح بالای ایرانیه.
در سال 1395، خبرنگار مجله آتلانتیک با شخصی تماس گرفت که ادعا می کرد به عنوان هکر برای سرویس اطلاعاتی ایران کار می کنه. اون مدعی بود در عملیات های بزرگی مثل سرنگونی پهپاد آمریکایی و هک معروف شرکت غول نفتی سعودی آرامکو (که در اون هکرهای ایرانی تمام کامپیوترهای شرکت رو پاک کردن) نقش داشته. هریس در ابتدا به درستی تردید داشت، اما هرچی بیشتر با این هکر صحبت کرد (کسی که در نهایت نام واقعی ش رو فاش کرد)، هریس باورش کرد. وقتی هکر جانش رو از دست داد، هریس تونست قطعات داستان واقعی رو کنار هم بچینه، داستانی که به نوعی حتی از چیزی که هکر به هریس گفته بود هم باورنکردنی تر از آب درامد.
این داستان جذاب، همچنین نگاهی عالی به پشت صحنه چالش هایی داره که خبرنگاران موقع پوشش داستان های امنیت سایبری باهاشون روبرو می شن.
واشینگتن پست از یه حکم مخفی پرده برداشت که از اپل می خواست اجازه بده مقامات بریتانیایی از داده های رمزنگاری شده کاربران جاسوسی کنن
در دی ماه 1402، دولت بریتانیا مخفیانه حکمی قضایی برای اپل صادر کرد و از این شرکت خواست که یه «در پشتی» (Backdoor) بسازه تا پلیس بتونه به داده های آی کلاد (iCloud) هر مشتری در هر جای دنیا دسترسی داشته باشه. به دلیل یه حکم منع افشای جهانی، ما فقط به خاطر خبررسانی واشینگتن پست متوجه شدیم که اصلا چنین حکمی وجود داره. این درخواست در نوع خودش اولین بود و اگه موفق می شد، شکست بزرگی برای غول های فناوری به حساب می اومد؛ شرکت هایی که در دهه گذشته تلاش کردن دسترسی خودشون رو هم به داده های کاربران قطع کنن تا مجبور نشن اون ها رو در اختیار دولت ها بذارن.
اپل در واکنش به این درخواست، ارائه فضای ابری با رمزنگاری سرتاسری اختیاری رو برای مشتریانش در بریتانیا متوقف کرد. اما با لو رفتن این خبر، حکم مخفی در معرض دید عموم قرار گرفت و به اپل و منتقدان اجازه داد تا قدرت نظارتی بریتانیا رو به شکلی که قبلا هرگز در ملاء عام آزمایش نشده بود، زیر ذره بین ببرن. این ماجرا باعث یه درگیری دیپلماتیک چند ماهه بین بریتانیا و ایالات متحده شد و باعث شد دولت بریتانیا از درخواستش عقب نشینی کنه هرچند چند ماه بعد دوباره تلاش کرد.
«دولت ترامپ تصادفا نقشه های جنگی اش را برایم پیامک کرد» از مجله آتلانتیک، یکی از برترین داستان های امنیت سایبری امسال
این داستان از اون نوع دسترسی هاییه که بعضی خبرنگارها خوابش رو می بینن، اما سردبیر مجله آتلانتیک تونست اون رو به صورت زنده تجربه کنه؛ اون هم بعد از اینکه یه مقام ارشد دولتی آمریکا ناخواسته اون رو به یه گروه سیگنال اضافه کرد که در اون مقامات ارشد درباره نقشه های جنگی با گوشی های موبایلشون بحث می کردن.
در ادامه تصویری از مدارک فاش شده در این گزارش را مشاهده می کنید که نشان دهنده بی احتیاطی در پروتکل های امنیتی است.
این اسکرین شات به خوبی عمق فاجعه و سادگی نفوذ به حساس ترین گفتگوهای دولتی را به تصویر می کشد.
پیت هگست، وزیر دفاع گفت: «ما در حال حاضر از نظر امنیت عملیات (OPSEC) مشکلی نداریم.» اما واقعیت این نبود. اعتبار تصویر: آتلانتیک (اسکرین شات)
خوندن بحث ها درباره اینکه نیروهای نظامی آمریکا کجا باید بمب بندازن و بعد دیدن گزارش های خبری از اصابت موشک ها به زمین در اون سوی دنیا تاییدی بود که جفری گلدبرگ نیاز داشت تا بفهمه، همون طور که شک کرده بود، در یه چت واقعی با مقامات واقعی دولت ترامپ حضور داره و تمام این ها مستند و قابل گزارشه.
و اون هم همین کار رو کرد و راه رو برای یه تحقیق چند ماهه (و نقد) درباره شیوه های امنیت عملیاتی دولت باز کرد؛ چیزی که بزرگترین اشتباه امنیتی (OpSec) دولتی در تاریخ نامیده شد. برملا شدن این موقعیت در نهایت نقص های امنیتی دیگه ای رو هم لو داد، از جمله استفاده از یه نسخه کپی و تقلبی سیگنال که ارتباطات به ظاهر امن دولت رو بیشتر به خطر انداخته بود.
برایان کربس هویت ادمین یه گروه هکری پرکار رو که یه نوجوان اردنی بود، پیدا کرد
برایان کربس، نامی آشنا در میان داستان های امنیت سایبری، سال هاست که تخصصش دنبال کردن سرنخ های آنلاینه که منجر به فاش شدن هویت مجرمان سایبری بدنام می شه. در این مورد، کربس تونست هویت واقعی پشت نام مستعار Rey رو پیدا کنه؛ هکری که عضو یه گروه جرایم سایبری بدنام به نام Scattered LAPSUS$ Hunters بود که خودشون رو «نوجوانان پیشرفته و سمج» می نامیدن.
جستجوی کربس اون قدر موفقیت آمیز بود که تونست با یکی از نزدیکان این هکر صحبت کنه نمی خوایم کل مقاله رو اینجا لو بدیم و بعد با خود هکر حرف زد که به جرم هاش اعتراف کرد و مدعی شد که سعی داره از زندگی مجرمانه سایبری فرار کنه.
ایرلاین ها بعد از گزارش رسانه 404، برنامه ای رو که میلیاردها سابقه پرواز رو به دولت می فروخت، متوقف کردن
رسانه مستقل «404 مدیا» امسال بیشتر از خیلی از رسانه های جریان اصلی با منابع بسیار بیشتر، روزنامه نگاری تاثیرگذار انجام داد. یکی از بزرگترین موفقیت های اون ها، افشا و در واقع تعطیل کردن یه سیستم عظیم نظارت بر سفرهای هوایی بود که توسط آژانس های فدرال استفاده می شد و در روز روشن فعالیت می کرد.
رسانه 404 گزارش داد که یه واسطه داده های کمتر شناخته شده به نام Airlines Reporting Corporation (ARC) که توسط صنعت هواپیمایی راه اندازی شده، دسترسی به پنج میلیارد بلیط هواپیما و برنامه های سفر، شامل نام ها و جزئیات مالی آمریکایی های عادی رو می فروخته. این کار به آژانس های دولتی مثل ICE، وزارت امور خارجه و IRS اجازه می داد تا افراد رو بدون حکم قضایی ردیابی کنن.
شرکت ARC که متعلق به یونایتد، امریکن، دلتا، ساوت وست، جت بلو و سایر ایرلاین هاست، اعلام کرد که در پی گزارش های چند ماهه رسانه 404 و فشار شدید قانون گذاران، این برنامه داده های بدون حکم رو متوقف می کنه.
مجله وایرد برای آزمایش قانونی بودن «اسلحه های شبح»، همون اسلحه با چاپ سه بعدی رو ساخت که گفته می شه لوئیجی مانجیونه برای کشتن مدیر اجرایی بخش سلامت ازش استفاده کرده
کشته شدن برایان تامپسون، مدیرعامل UnitedHealthcare در آذر 1403، یکی از بزرگترین خبرهای سال بود. لوئیجی مانجیونه، متهم اصلی این قتل، کمی بعد دستگیر و به اتهام استفاده از «اسلحه شبح» متهم شد؛ اسلحه ساخته شده با چاپ سه بعدی که شماره سریال نداشت و به صورت خصوصی و بدون بررسی پیشینه ساخته شده بود در واقع اسلحه ای که دولت هیچ اطلاعی از وجودش نداره.
مجله وایرد با استفاده از تجربیات قبلی خودش در گزارش دهی درباره سلاح های چاپ سه بعدی، سعی کرد آزمایش کنه که ساخت یه اسلحه با چاپ سه بعدی چقدر آسونه، اون هم در حالی که باید از پیچ و خم های قانونی (و اخلاقی) عبور می کرد. روند این گزارش به زیبایی روایت شده و ویدیویی که همراه با داستانه، هم عالیه و هم تکان دهنده.
ان پی آر جزئیات افشاگری یه کارمند فدرال رو منتشر کرد که نشون می داد DOGE چطور داده های حساس دولتی رو برداشته و اون کارمند با چه تهدیدهایی روبرو شده
DOGE یا همان «وزارت کارآمدی دولت»، یکی از بزرگترین داستان های امنیت سایبری دنباله دار سال بود؛ داستانی که در اون گروهی از نوچه های ایلان ماسک به عنوان بخشی از طرح جمع آوری انبوه داده های شهروندان، به بدنه دولت فدرال نفوذ کردن و پروتکل های امنیتی و بوروکراسی ها رو زیر پا گذاشتن. ان پی آر (NPR) یکی از بهترین گزارش های تحقیقی رو داشت که جنبش مقاومت کارکنان فدرال رو که سعی می کردن مانع از سرقت حساس ترین داده های دولت بشن، فاش کرد.
در یکی از این گزارش ها که جزئیات افشاگری رسمی یه کارمند رو (که با اعضای کنگره به اشتراک گذاشته شده بود) بیان می کرد، یه کارمند ارشد فناوری اطلاعات در هیئت ملی روابط کار به قانون گذاران گفت که وقتی دنبال کمک برای بررسی فعالیت های DOGE بوده، «یه نامه چاپی داخل پاکت پیدا کرده که به درِ خونه ش چسبونده شده بود. طبق نامه ارسالی همراه با افشاگری رسمی اش، این نامه شامل عبارات تهدیدآمیز، اطلاعات شخصی حساس و عکس های هوایی از اون در حال پیاده روی با سگش بوده.»
مادر جونز یه دیتابیس لو رفته از قربانیان جاسوسی پیدا کرد که شامل رهبران جهان، دشمن واتیکان و شاید خود شما باشه
هر داستانی که با این جمله خبرنگار شروع بشه که چیزی پیدا کرده که باعث شده «احساس کنه نزدیکه از ترس خودش رو خیس کنه»، می دونید که خوندنش جالب خواهد بود. گابریل گیگر یه مجموعه داده از یه شرکت جاسوسی مرموز به نام First Wap پیدا کرد که حاوی سوابق هزاران نفر از سراسر جهان بود که مکان گوشی های موبایلشون ردیابی شده بود.
این دیتابیس، یکی از هولناک ترین داستان های امنیت سایبری، بازه زمانی 1386 تا 1394 رو پوشش می داد، به گیگر اجازه داد تا ده ها فرد مشهور رو که گوشی هاشون ردیابی شده بود شناسایی کنه؛ از جمله بانوی اول سابق سوریه، رئیس یه پیمانکار نظامی خصوصی، یه بازیگر هالیوود و یکی از دشمنان واتیکان. این داستان دنیای تاریک برنامه های جاسوسی تلفنی رو از طریق سوءاستفاده از سیستم سیگنالینگ شماره 7 یا SS7 بررسی می کرد؛ پروتکلی با نامی مبهم که مدت هاست به عنوان راهی برای ردیابی های مخرب شناخته می شه.
وایرد گزارشی از تحقیقات درباره مجموعه ای از حملات «سواتینگ» به صدها مدرسه در سراسر کشور منتشر کرد
«سواتینگ» (Swatting) سال هاست که به یه مشکل تبدیل شده. چیزی که به عنوان یه شوخی بد شروع شد، حالا به یه تهدید واقعی تبدیل شده که حداقل منجر به مرگ یک نفر شده. سواتینگ نوعی شوخی فریب آمیزه که در اون شخصی اغلب یه هکر با خدمات اضطراری تماس می گیره و با فریب دادن مقامات، باعث می شه یه تیم مسلح SWAT به خونه هدف مورد نظرش فرستاده بشه. اون ها معمولا خودشون رو جای هدف جا می زنن و وانمود می کنن که در آستانه ارتکاب یه جرم خشونت آمیز هستن.
این گزارش ویژه، یکی از مهمترین داستان های امنیت سایبری درباره حملات “سواتینگ”، به چهره های مختلفی که بخشی از این داستان ها هستن، مثل اپراتورهای تماس که باید با این مشکل دست و پنجه نرم کنن، پرداخت. اون همچنین پروفایلی از یه سواتر پرکار به نام Torswats تهیه کرد که ماه ها اپراتورها و مدرسه های سراسر کشور رو با تهدیدهای خشونت آمیزِ ساختگی اما به شدت باورکردنی شکنجه می کرد، و همچنین هکری که شخصا کمر به ردیابی و پیدا کردن Torswats بسته بود.
مرور این وقایع نشان می دهد که مرز میان امنیت و نفوذ بسیار باریک است و حتی بزرگترین قدرت ها و شرکت های تکنولوژی نیز در برابر خطرات سایبری مصون نیستند. آگاهی از این گزارش ها نه تنها دید ما را نسبت به دنیای دیجیتال تغییر می دهد، بلکه بر اهمیت محافظت از داده های شخصی در عصر حاضر تاکید می کند.
These are the cybersecurity stories we were jealous of in 2025
