كشفت تحقيقات أمنية حديثة عن معرضة شبكة بوت نت ضخمة مخصصة لاختراق حسابات تويتر (X) للخطر بشكل كامل، حيث يمكن الوصول إلى لوحة التحكم الخاصة بها وبيانات الهجوم الحية دون الحاجة لأي مصادقة، مما يضع آلاف البيانات تحت رحمة أي طرف ثالث يكتشف هذه الثغرة. تم اكتشاف هذه المعلومات يوم 10 أبريل 2026.
يُطلق على النظام المكشوف اسم “Twitter Checker Master Panel – FULL FIX v2.3″، وقد كشف عن كلمات مرور الجذر لخوادم SSH لجميع خوادم العمال البالغ عددها 18، مما يتيح لأي شخص لديه المعرفة التقنية المناسبة السيطرة على النظام.
شبكة بوت نت مفتوحة: فرصة للمهاجمين
تم اكتشاف لوحة تحكم البوت نت، التي تعمل عبر عنوان IP الألماني (144[.]76[.]57[.]92) على المنفذ 5000، وهي مستضافة على خادم يعمل بنظام Windows Server 2019. ووفقاً للتقرير، تم بناء اللوحة باستخدام Python Flask مع Socket.IO لبث السجلات الحية، لكن المفاجأة تمثلت في غياب أي طبقة حماية أو مصادقة.
هذا الغياب يعني أن أي شخص يصل إلى الخادم يمكنه رؤية جميع البيانات، بما في ذلك إحصائيات الهجوم الحية، وتفاصيل خوادم العمال، وقوائم بيانات الاعتماد النشطة، وسجل الحسابات المخترقة. كما تم الكشف عن خدمات أخرى مثل RDP و SMB و WinRM على نفس الجهاز.
خلال فترة مراقبة قصيرة استمرت 12 دقيقة، شاهد محللو Breakglass Intelligence البوت نت وهو يختبر أكثر من 722,763 بيانات اعتماد، مؤكداً 18 اختراقاً جديداً. وتشير الإحصائيات المجمعة إلى أن العملية اختبرت أكثر من 4.8 مليون حساب، مما أدى إلى 138 اختراقاً مؤكداً.
ثغرات أمنية وإعدادات باللغة التركية
تُشير العديد من المؤشرات، مثل أسماء الخوادم التي تستخدم كلمة “Sunucu” التركية، وبناء اللوحة بالكامل باللغة التركية، وانتهاء كلمات مرور الجذر بـ “kmt” (اختصار لـ Komuta)، بقوة إلى أن مشغل هذه الشبكة يتحدث التركية. بدأت العملية التي تستهدف حسابات تويتر بشكل مبدئي في يوم عيد الميلاد، 25 ديسمبر 2025.
أحد أبرز النتائج التي تم الكشف عنها هو تأثير المصادقة الثنائية (2FA). فمن بين 4,862,580 حساباً تم اختبارها، واجه 85.6% منها تحدي المصادقة الثنائية، مما أوقف البوت نت بنجاح. وهذا يؤكد أن تفعيل المصادقة الثنائية يقضي على معظم مخاطر هذه الأنواع من الهجمات.
الوصول المفتوح إلى واجهة برمجة التطبيقات
العنصر الأكثر خطورة في هذه الحالة هو إمكانية التحكم الكامل في البوت نت. فقد وفرت لوحة Flask مجموعة كاملة من نقاط نهاية واجهة برمجة التطبيقات (API) دون أي ضوابط وصول. وكان بإمكان أي شخص لديه إمكانية الوصول إلى الشبكة بدء أو إيقاف البوت نت بالكامل، وتحميل قوائم بيانات اعتماد خاصة به، وتنزيل النتائج، وتحديث الإعدادات، وحتى إعادة تثبيت برنامج الفحص.
وقد أوصى محللو Breakglass Intelligence بضرورة قيام تويتر (X) بحظر عناوين IP المحددة فوراً، وإعادة تعيين كلمات المرور للحسابات التي تم اختراقها. كما ينبغي على مزودي الخدمة (Hetzner و Komuta Savunma) التحقيق في تقارير إساءة الاستخدام المتعلقة بخوادمهم.
بالنسبة للمستخدمين الأفراد، فإن الدروس المستفادة واضحة: تفعيل المصادقة الثنائية يحمي الغالبية العظمى من الحسابات، وتجنب إعادة استخدام كلمات المرور عبر الخدمات المختلفة يزيل المخاطر المتبقية.