أساء شخص ما استخدام ميزة البحث عن الأصدقاء في Rec Room لمطابقة أرقام الهواتف مع أسماء المستخدمين لمئات الآلاف من اللاعبين على منصة الألعاب الاجتماعية – وتجميع قاعدة بيانات تربط هوياتهم عبر الإنترنت مباشرة بمعلومات الاتصال الخاصة بهم في العالم الحقيقي.
ولم يتم الإبلاغ عن الحادث، الذي وقع في يناير/كانون الثاني، أو الاعتراف به علنًا من قبل، باستثناء رد موجز من أحد موظفي غرفة الترفيه على سؤال في منتدى عبر الإنترنت. لا يرتبط هذا بشكل مباشر بالإعلان اللاحق بأن الشركة التي يقع مقرها في سياتل ستغلق منصة الألعاب الاجتماعية في الأول من يونيو بعد 10 سنوات من العمل.
في الرسائل المرسلة إلى GeekWire، أعرب شخص مطلع على الحادث عن قلقه من أن Rec Room لم تقم أبدًا بإخطار المستخدمين بشكل استباقي الذين تم ربط أرقام هواتفهم وهوياتهم من خلال هجوم القوة الغاشمة – مما تركهم غير مدركين للموقف وعرضة للمضايقات أو التصيد الاحتيالي أو غيرها من الهجمات، خاصة عندما يتم إغلاق المنصة.
ردًا على استفساراتنا حول الحادث، أقرت الشركة بأنها علمت في شهر يناير أن أحد الأفراد كان يجري عددًا كبيرًا من الاستعلامات ضد واجهة برمجة التطبيقات الخاصة بالعثور على الأصدقاء. وقالت الشركة وبعد اكتشاف ذلك قامت بتعطيل هذه الميزة وحظرت المستخدم.
قالت Rec Room إنها استأجرت شركة خارجية قانونية وشرعية لإجراء مراجعة، وخلصت إلى أن تعطيل واجهة برمجة التطبيقات كان كافيًا ولم يكن هناك حاجة إلى إشعار تنظيمي. وقالت Rec Room إن الميزة لا تُرجع اسم المستخدم إلا إذا كان يتطابق مع رقم هاتف أو بريد إلكتروني، ولا تكشف عن معلومات حساب إضافية أو بيانات اعتماد.
وقال متحدث باسم Rec Room في بيان متابعة: “نحن نأخذ سلامة المستخدم وأمنه على محمل الجد ونتخذ إجراءات قوية لحماية بيانات المستخدم”. وقال إن الشركة “راجعت إعدادات الخصوصية لدينا وأكدت أنها تعمل على النحو المنشود”.
ماذا حدث: ولم تتضمن الحادثة قيام أي شخص باقتحام خوادم Rec Room أو الوصول مباشرة إلى قاعدة بياناتها.
وبدلاً من ذلك، حدث ذلك من خلال ميزة البحث عن الأصدقاء في النظام الأساسي، والتي تتيح للاعبين تحميل جهات اتصال هواتفهم لمعرفة أي من أصدقائهم موجود بالفعل على النظام الأساسي. تحت الغطاء، يقبل النظام رقم الهاتف ويعيد اسم مستخدم غرفة الاستراحة إذا كان مطابقًا.
تم تصميم هذه الميزة للمستخدمين الفرديين للتحقق من جهات الاتصال الشخصية الخاصة بهم. ومع ذلك، لم تكن هناك ضمانات واضحة في النظام لمنع أي شخص من إجراء استجوابات جماعية.
وهذا ما حدث في شهر يناير، وفقًا لشخص مطلع على الأمر. قام شخص ما بفحص جميع أرقام الهواتف الأمريكية والكندية بشكل منهجي من خلال النظام، وقام بجمع كل نتيجة. وقال الشخص إن النتيجة كانت قاعدة بيانات تضم حوالي 279 ألف سجل.
تم بيع قاعدة البيانات لاحقًا للآخرين، وفقًا لشخص مطلع على الحادث، الذي قال إن النظام المستخدم لتوزيعها لم يكن آمنًا في حد ذاته، مما قد يجعلها في متناول جمهور أوسع.
رد غرفة التسجيل: وعندما سئلت عن حجم قاعدة البيانات، قالت Rec Room إنها لم تتعرف على العدد الذي قدمه المصدر، لكنها لم تقدم عدد المستخدمين المتأثرين الخاص بها. وبدون معلومات إضافية، ليس من الواضح ما إذا كانت الشركة قد حددت حجم قاعدة البيانات التي تم جمعها أو النطاق الكامل للحادث.
قالت Rec Room أنه لا يمكن الحصول على رقم هاتف أو بريد إلكتروني مباشرة من الشركة.
الرد على سؤال المستخدم حول الحادثة في 19 فبراير على خادم Discord الخاص بالشركة.قال أحد موظفي Rec Room إن المنصة سمحت سابقًا للمستخدمين بالعثور على أصدقاء من خلال البحث في جهات الاتصال الخاصة بهم، وأن بعض المستخدمين “يسيئون استخدام هذه الوظيفة على نطاق واسع”.
وقالت الرسالة إنه تم تعطيل الميزة “بسبب كثرة الحذر”.
الآن لماذا يهم: لم تقم الشركة بإخطار المستخدمين المتأثرين بشكل استباقي. قالت Rec Room إن فريق الدعم الخاص بها يستجيب للاعبين الذين اتصلوا بالشركة بعد تلقي رسائل نصية غير مرغوب فيها والتي يبدو أنها مرتبطة بقاعدة البيانات المجمعة.
ومن المقرر الآن إغلاق المنصة في الأول من يونيو، مما يؤدي إلى إغلاق نافذة الإشعارات النشطة. بعد ذلك التاريخ، لن يكون لدى Rec Room أي قنوات داخل التطبيق للوصول إلى لاعبيها.
إغلاق غرف الترفيه لن يؤدي إلا إلى زيادة الخطر. يمكن للمهاجم الذي يتمتع بإمكانية الوصول إلى قاعدة البيانات استخدام Clojure لصياغة رسائل تصيد احتيالي – على سبيل المثال، رسالة نصية أو بريد إلكتروني ينتحل شخصية Rec Room ويحث اللاعبين على النقر فوق رابط لتصدير بياناتهم قبل أن تصبح المنصة مظلمة. إيقاف التشغيل سيعطي مثل هذه الرسالة الاحتمالية الضمنية.
يمكن أيضًا استخدام أرقام الهواتف للبحث عن الأسماء الحقيقية وعناوين المنازل من خلال السجلات المتاحة للجمهور أو لمحاولة تبديل بطاقة SIM، حيث يستولي المهاجم على رقم هاتف الضحية لاعتراض المكالمات والرسائل النصية ورموز المصادقة. للمساعدة في منع ذلك، يمكن للمستخدمين قفل أرقام هواتفهم من خلال تطبيق أو موقع الويب الخاص بشركة الاتصالات اللاسلكية، وعادةً ما يكون ذلك باستخدام رمز PIN.
إعدادات الخصوصية: إحدى القضايا المثيرة للجدل تتعلق بإعدادات الخصوصية في Rec Room. عرض النظام الأساسي تبديلًا لمنع المستخدمين من العثور على الآخرين عن طريق رقم الهاتف أو عنوان البريد الإلكتروني.
لكن الشخص المطلع على الحادث قال إن الإعداد لا يحمي من الاستعلامات واسعة النطاق المستخدمة في الهجوم. قال هذا الشخص إن بياناته الخاصة ظهرت في قاعدة البيانات على الرغم من إيقاف تشغيل الإعداد، وقدم لقطة شاشة تدعم هذا الادعاء.
(رفض الشخص التعريف عن نفسه، مشيرًا إلى مخاوف من أن نشر اسمه قد يسمح لشخص يستخدم السجلات العامة بربط هويته بعنوان منزله وتفاصيل شخصية أخرى).
وعندما سُئلت عن إعدادات الخصوصية، قالت Rec Room إنها تحققت من أنها تعمل كما هو مُصمم لها.
سوابق تاريخية: وهذه ليست المرة الأولى التي تواجه فيها منصة اجتماعية مثل هذا الحادث.
مهاجم في عام 2014 استخدمت نفس النهج ضد ميزة البحث عن الأصدقاء في Snapchat، ومطابقة أسماء المستخدمين مع 4.6 مليون رقم هاتف. وتعرضت شركة سناب شات لانتقادات لأنها تجاهلت الثغرة الأمنية في البداية واستغرق الأمر أكثر من أسبوع للاعتذار، لكنها اعترفت لاحقًا بالانتهاك، وحدثت تطبيقها وسمحت للمستخدمين بإلغاء الاشتراك في الميزة.
تم استخدام تقنية مماثلة في عام 2021 أيضًا تجميع قاعدة بيانات أرقام الهواتف والمعلومات الشخصية لأكثر من 530 مليون مستخدم للفيسبوك. وقالت فيسبوك إنها أصلحت الخلل الأساسي في عام 2019، لكنها رفضت إخطار المستخدمين المتأثرين بشكل فردي، قائلة إنها لا تستطيع التأكد من المستخدمين الذين يجب إخطارهم.
يعد نهج Rec Room أقرب إلى نهج Facebook: حيث أكد أن الحادث لم يشكل خطرًا أمنيًا أو خصوصية وأنه لم يتم الحصول على أي بيانات مستخدم من أنظمته.
قاعدة مستخدمي Rec Room: اجتذبت Rec Room أكثر من 150 مليون لاعب مدى الحياة عبر الهواتف ووحدات التحكم وأجهزة الكمبيوتر وسماعات الواقع الافتراضي، مع وجود ملايين أكثر نشاطًا كل شهر حتى قبل الإعلان عن إيقاف التشغيل.
الرئيس التنفيذي لشركة Rec Room نيك فادج صرح لصحيفة وول ستريت جورنال في عام 2021 وكانت أعمار غالبية مستخدمي المنصة تتراوح بين 13 و16 عامًا – مما يعني أن العديد من أرقام الهواتف الموجودة في قاعدة البيانات المجمعة تخص قاصرين أو آبائهم.
مسار الشركة: تم إطلاق Rec Room في عام 2016 كمنصة لإنشاء ومشاركة العوالم الافتراضية. أسست الشركة على يد مجموعة من مهندسي مايكروسوفت السابقين، وجمعت 294 مليون دولار من تمويل المشروع على مدار عمرها، وقدرت قيمتها بـ 3.5 مليار دولار في ذروتها في عام 2021.
لكنها لم تجد أبدًا طريقة لتحقيق الربح، حيث قامت بخفض عدد الموظفين في جولتين من عمليات تسريح العمال في العام الماضي.
وقال الشخص المطلع على الأمر إن عمليات تسريح العمال في العام الماضي أثرت بشكل كبير على فريق الأمن السيبراني بالشركة. الشركة أيضا أوقفت برنامج مكافأة الأخطاء الخاص بك في 10 فبراير، على منصة الأمان BugCrowd، تم إيقاف تقارير الثغرات الجديدة. لم يتم إعادة فتح البرنامج.
بعد إعلان إيقاف التشغيل في شهر مارس، استحوذت شركة Snap على أصول مختارة من Rec Room، وانضم بعض أعضاء الفريق إلى شركة الأجهزة التابعة لشركة Snapchat الأم للعمل على نظارات الواقع المعزز الخاصة بها. ليس من الواضح ما إذا كان أي شخص قد تأثر بتخفيضات SNAP الأسبوع الماضي.
ماذا تعرف: يجب على مستخدمي Rec Room الذين ربطوا رقم هاتف بحسابهم أن يدركوا أن رقمهم قد يكون مرتبطًا باسم المستخدم الخاص بهم في قاعدة البيانات المجمعة.
يجب أن يكون المستخدمون متشككين بشأن أي نصوص أو رسائل بريد إلكتروني غير مرغوب فيها تتعلق بـ Rec Room أو الإغلاق القادم، وخاصة الرسائل التي تطلب النقر فوق الروابط.
ومع إغلاق المنصة بعد أقل من سبعة أسابيع، قال الشخص المطلع على الحادث إنه يأمل أن يساعد لفت انتباه الجمهور إلى هذه المشكلة المستخدمين على البقاء مدركين للمخاطر.
