این‌ها داستان‌های امنیت سایبری بودند که در سال ۲۰۲۵ به آن‌ها حسادت می‌کردیم

پایان سال است. این یعنی وقت آن است که بهترین داستان‌های امنیت سایبری را که منتشر نکرده‌ایم جشن بگیریم. از سال ۲۰۲۳، تک کرانچ به بهترین داستان‌های سال در حوزه امنیت سایبری نگاهی انداخته است.

اگر آشنا نیستید، ایده ساده است. امروزه ده‌ها روزنامه‌نگار در حوزه امنیت سایبری به زبان انگلیسی فعالیت می‌کنند. هر هفته داستان‌های زیادی درباره امنیت سایبری، حریم خصوصی و نظارت منتشر می‌شود. و بسیاری از آن‌ها عالی هستند و باید آن‌ها را بخوانید. ما اینجا هستیم تا آن‌هایی را که بیشتر دوست داشتیم توصیه کنیم، پس به خاطر داشته باشید که این یک لیست بسیار ذهنی و در نهایت ناقص است.

به هر حال، برویم سراغ اصل مطلب. — لورنزو فرانچسکی-بیچیری

شین هریس توضیح داد که چگونه یک هکر ارشد ایرانی را به عنوان منبع خود پرورش داد، که بعداً کشته شد

هر از گاهی، داستانی درباره هکر وجود دارد که به محض شروع خواندن آن، فکر می‌کنید می‌تواند یک فیلم یا سریال تلویزیونی باشد. این مورد در مورد داستان بسیار شخصی شین هریس از مکاتبات ماه‌هاه او با یک هکر ارشد ایرانی است.

در سال ۲۰۱۶، روزنامه‌نگار آتلانتیک با فردی تماس گرفت که ادعا می‌کرد به عنوان هکر برای اطلاعات ایران کار می‌کند، جایی که او ادعا کرد در عملیات‌های بزرگی مانند سرنگونی یک پهپاد آمریکایی و هک بدنام علیه غول نفتی آرامکو سعودی، که در آن هکرهای ایرانی کامپیوترهای شرکت را پاک کردند، فعالیت داشته است. هریس حق داشت شکاک باشد، اما وقتی به صحبت با هکر ادامه داد، که در نهایت نام واقعی خود را به او فاش کرد، هریس شروع به باور کردن او کرد. وقتی هکر درگذشت، هریس توانست داستان واقعی را کنار هم بگذارد، که به نحوی باورنکردنی‌تر از آنچه هکر به هریس گفته بود، از آب درآمد.

این داستان جذاب همچنین نگاهی عالی از پشت صحنه چالش‌هایی را که خبرنگاران امنیت سایبری هنگام برخورد با منابعی که ادعا می‌کنند داستان‌های بزرگی برای به اشتراک گذاشتن دارند، با خود دارد.

واشنگتن پست از دستور مخفیانه‌ای پرده برداشت که اپل را مجبور می‌کرد به مقامات بریتانیایی اجازه دهد تا داده‌های رمزگذاری شده کاربران را جاسوسی کنند

در ماه ژانویه، دولت بریتانیا به طور مخفیانه به اپل دستور داد تا یک درب پشتی بسازد تا پلیس بتواند به داده‌های iCloud هر مشتری در سراسر جهان دسترسی پیدا کند. به دلیل دستور سکوت جهانی، تنها به این دلیل که واشنگتن پست این خبر را منتشر کرد، ما از وجود این دستور مطلع شدیم. این درخواست اولین مورد از نوع خود بود و در صورت موفقیت، شکست بزرگی برای غول‌های فناوری محسوب می‌شد که در دهه گذشته خود را از داده‌های کاربرانشان قفل کرده‌اند تا نتوانند مجبور به ارائه آن به دولت‌ها شوند.

اپل متعاقباً ذخیره‌سازی ابری رمزگذاری شده سرتاسری اختیاری خود را برای مشتریان خود در بریتانیا در پاسخ به این درخواست متوقف کرد. اما با انتشار این خبر، دستور مخفیانه به دید عموم درآمد و به اپل و منتقدان اجازه داد تا قدرت‌های نظارتی بریتانیا را به گونه‌ای که قبلاً در ملاء عام آزمایش نشده بود، مورد بررسی قرار دهند. این داستان باعث یک درگیری دیپلماتیک ماه‌هاه بین بریتانیا و ایالات متحده شد و باعث شد داونینگ استریت این درخواست را پس بگیرد - فقط برای چند ماه بعد دوباره تلاش کند.

"دولت ترامپ به طور تصادفی برنامه جنگی خود را برای من پیامک کرد" از آتلانتیک بهترین تیتر امسال است

این داستان نوعی دسترسی از نزدیک بود که برخی از خبرنگاران آرزوی آن را داشتند، اما سردبیر آتلانتیک در زمان واقعی شاهد آن بود، پس از اینکه ناخواسته به یک گروه سیگنال از مقامات ارشد دولت ایالات متحده توسط یک مقام ارشد دولتی ایالات متحده که در مورد برنامه‌های جنگی در تلفن‌های همراه خود بحث می‌کرد، اضافه شد.

خواندن بحث در مورد اینکه نیروهای نظامی ایالات متحده کجا باید بمب بریزند - و سپس دیدن گزارش‌های خبری از اصابت موشک‌ها در آن سوی جهان - تأییدی بود که جفری گلدبرگ نیاز داشت بداند که او، همانطور که مشکوک بود، در یک چت واقعی با مقامات واقعی دولت ترامپ است و همه اینها به صورت رسمی و قابل گزارش بود.

و او این کار را کرد و راه را برای تحقیقات ماه‌هاه (و نقد) شیوه‌های امنیت عملیاتی دولت هموار کرد، در آنچه بزرگترین اشتباه امنیتی دولتی در تاریخ نامیده شد. افشای این وضعیت در نهایت منجر به افشای ضعف‌های امنیتی مربوط به استفاده از یک کلون سیگنال تقلبی شد که ارتباطات ظاهراً امن دولت را بیشتر به خطر انداخت.

برایان کربس مدیر یک گروه هکری پرکار را به عنوان یک نوجوان اردنی ردیابی کرد

برایان کربس یکی از باتجربه‌ترین خبرنگاران امنیت سایبری است و سال‌هاست که در دنبال کردن ردپاهای آنلاین که او را به شناسایی مجرمان سایبری بدنام می‌رساند، تخصص دارد. در این مورد، کربس توانست هویت واقعی پشت نام مستعار هکری "ری" را پیدا کند، که بخشی از گروه جنایتکار سایبری بدنام "نوجوانان پیشرفته پایدار" است که خود را "شکارچیان لاپسوس پراکنده" می‌نامند.

جستجوی کربس آنقدر موفقیت‌آمیز بود که او توانست با فردی بسیار نزدیک به هکر صحبت کند - ما کل مقاله را اینجا خراب نمی‌کنیم - و سپس خود هکر، که به جنایات خود اعتراف کرد و ادعا کرد که سعی در فرار از زندگی جنایتکار سایبری دارد.

خطوط هوایی برنامه‌ای را که میلیاردها رکورد پرواز را به دولت می‌فروخت، پس از گزارش 404 Media تعطیل کردند

رسانه مستقل 404 Media امسال بیش از اکثر رسانه‌های جریان اصلی با منابع بسیار بیشتر، روزنامه‌نگاری تأثیرگذار انجام داده است. یکی از بزرگترین پیروزی‌های آن‌ها افشای و تعطیلی مؤثر یک سیستم عظیم نظارت بر سفرهای هوایی بود که توسط آژانس‌های فدرال مورد استفاده قرار می‌گرفت و در دید عموم فعالیت می‌کرد.

404 Media گزارش داد که یک واسطه داده کمتر شناخته شده که توسط صنعت خطوط هوایی به نام ARC (Airlines Reporting Corporation) تأسیس شده بود، دسترسی به ۵ میلیارد بلیط هواپیما و برنامه‌های سفر، از جمله نام و جزئیات مالی آمریکایی‌های عادی را می‌فروخت و به آژانس‌های دولتی مانند ICE، وزارت امور خارجه و IRS اجازه می‌داد بدون حکم قضایی افراد را ردیابی کنند.

ARC، که متعلق به یونایتد، امریکن، دلتا، ساوث‌وست، جت‌بلو و سایر خطوط هوایی است، اعلام کرد که برنامه داده بدون حکم را پس از گزارش‌های ماه‌هاه 404 Media و فشار شدید قانون‌گذاران تعطیل خواهد کرد.

وایر اسلحه چاپ سه‌بعدی را ساخت که لوئیجی مانجونه ادعا می‌شود برای آزمایش قانونی بودن "تفنگ‌های شبح" از آن برای قتل یک مدیر مراقبت‌های بهداشتی استفاده کرده است

قتل مدیرعامل UnitedHealthcare، برایان تامپسون، در دسامبر ۲۰۲۴ یکی از بزرگترین داستان‌های سال بود. لوئیجی مانجونه، مظنون اصلی در این قتل، پس از آن دستگیر و به اتهام استفاده از "تفنگ شبح"، یک سلاح گرم چاپ سه‌بعدی که هیچ شماره سریال نداشت و بدون بررسی سوابق در خصوصی ساخته شده بود - عملاً سلاحی که دولت از وجود آن بی‌اطلاع است - متهم شد.

وایر، با استفاده از تجربه گزارشگری گذشته خود در مورد سلاح‌های چاپ سه‌بعدی، تلاش کرد تا آزمایش کند که ساخت یک اسلحه چاپ سه‌بعدی چقدر آسان است، در حالی که در چشم‌انداز قانونی (و اخلاقی) پراکنده حرکت می‌کند. فرآیند گزارشگری به طرز فوق‌العاده‌ای روایت شد و ویدیوی همراه داستان هم عالی و هم ترسناک است.

NPR جزئیات حساب یک افشاگر فدرال را از چگونگی برداشت داده‌های حساس دولتی توسط DOGE و تهدیدهایی که با آن‌ها روبرو شد، شرح داد

DOGE، یا وزارت کارایی دولت، یکی از بزرگترین داستان‌های در حال اجرا در سال بود، زیرا گروهی از مزدوران ایلان ماسک از طریق دولت فدرال، پروتکل‌های امنیتی و بوروکراسی را از بین بردند، به عنوان بخشی از برداشت گسترده داده‌های شهروندان. NPR برخی از بهترین گزارش‌های تحقیقی را در مورد کشف جنبش مقاومت کارکنان فدرال که سعی در جلوگیری از سرقت حساس‌ترین داده‌های دولت داشتند، منتشر کرد.

در یکی از داستان‌هایی که افشای رسمی یک افشاگر را که با اعضای کنگره به اشتراک گذاشته شده بود، شرح می‌داد، یک کارمند ارشد IT در هیئت ملی روابط کار به قانون‌گذاران گفت که هنگامی که او به دنبال کمک برای تحقیق در مورد فعالیت DOGE بود، "نامه‌ای چاپی را در پاکتی که به در او چسبانده شده بود، پیدا کرد که شامل زبان تهدیدآمیز، اطلاعات شخصی حساس و عکس‌های هوایی از او در حال پیاده‌روی با سگش بود، طبق نامه پوششی ضمیمه افشای رسمی او."

Mother Jones مجموعه داده‌ای افشا شده از قربانیان ردیابی شده، از جمله رهبران جهان، دشمن واتیکان، و شاید شما را پیدا کرد

هر داستانی که با گفتن یک روزنامه‌نگار که چیزی پیدا کرده که باعث شده "احساس کنم می‌خواهم شلوارم را خیس کنم" شروع می‌شود، می‌دانید که خواندن آن سرگرم‌کننده خواهد بود. گابریل گایگر مجموعه داده‌ای از یک شرکت نظارتی مرموز به نام First Wap پیدا کرد که حاوی سوابق هزاران نفر از سراسر جهان بود که موقعیت مکانی تلفن‌هایشان ردیابی شده بود.

این مجموعه داده که از سال ۲۰۰۷ تا ۲۰۱۵ را پوشش می‌داد، به گایگر اجازه داد تا ده‌ها نفر از افراد برجسته را که تلفن‌هایشان ردیابی شده بود، شناسایی کند، از جمله همسر اول سابق سوریه، رئیس یک پیمانکار نظامی خصوصی، یک بازیگر هالیوودی و دشمن واتیکان. این داستان دنیای تاریک نظارت بر تلفن را با بهره‌برداری از سیستم سیگنالینگ شماره ۷، یا SS7، یک پروتکل با نام مبهم که مدت‌هاست شناخته شده است که ردیابی مخرب را امکان‌پذیر می‌کند، بررسی کرد.

وایر در مورد تحقیقات پشت رشته حملات "سواتینگ" به صدها مدرسه در سراسر کشور گزارش داد

سواتینگ سال‌هاست که یک مشکل بوده است. آنچه به عنوان یک شوخی بد شروع شد به یک تهدید واقعی تبدیل شده است که منجر به حداقل یک مرگ شده است. سواتینگ نوعی شوخی است که در آن کسی - اغلب یک هکر - با خدمات اضطراری تماس می‌گیرد و مقامات را فریب می‌دهد تا یک تیم SWAT مسلح را به خانه هدف شوخی بفرستند، اغلب خود را به جای هدف جا می‌زند و وانمود می‌کند که قصد ارتکاب جرم خشونت‌آمیز را دارد.

در این مقاله، اندی گرینبرگ از وایر چهره شخصیت‌های متعددی را که بخشی از این داستان‌ها هستند، مانند اپراتورهای تماس که باید با این مشکل دست و پنجه نرم کنند، به تصویر کشید. و او همچنین یک سواتر پرکار، معروف به Torswats، را که ماه‌ها اپراتورها و مدارس را در سراسر کشور با تهدیدهای دروغین - اما بسیار قابل باور - خشونت آزار می‌داد، و همچنین هکری که خود را وقف ردیابی Torswats کرد، معرفی کرد.