درجة ثقة المجتمعموثّق
تريد هيئة الاتصالات الفيدرالية (FCC) من شركات الاتصالات جمع المزيد من البيانات عنك. الأسماء، العناوين، بطاقات الهوية الحكومية — كل شيء. ولحاملي العملات الرقمية، هذه مشكلة تستحق الانتباه إليها الآن.
الاقتراح، الذي تم تقديمه تحت أرقام الملف CG Docket Nos. 17-59 و02-278 في 26 مايو، يطلب من مزودي خدمات الصوت جمع معلومات واسعة عن العملاء كجزء من جهد للحد من المكالمات الآلية غير القانونية، التي تستنزف مليارات من الأمريكيين كل عام. سيتعين على شركات الاتصالات الاحتفاظ بتلك البيانات لمدة أربع سنوات بعد انتهاء العلاقة مع العميل. عدم الامتثال يحمل غرامة قدرها $2,500 لكل مكالمة. التعليقات العامة تنتهي في 25 يونيو، لذا فإن النافذة للإدلاء بآراء قد أغلقت تقريبًا.
هجمات تبديل شريحة الهاتف مكلفة بالفعل
إليك الجزء الذي يجب أن يقلق أي شخص يحمل عملات رقمية. أرقام الهواتف تقع في مركز معظم أنظمة استعادة الحساب والمصادقة الثنائية. إذا تم اختطاف رقم هاتفك — وهذا ما يسمى بهجوم تبديل شريحة الهاتف، حيث يقنع محتال شركة الاتصالات بإعادة توجيه رقمك إلى جهازه — يمكن للمهاجمين الوصول مباشرة إلى حسابات التداول الخاصة بك، محافظك، بريدك الإلكتروني. إنه سريع، من الصعب إيقافه في الوقت الفعلي، وهو يحدث بالفعل على نطاق واسع.
في عام 2021 وحده، تم تقديم 1,611 شكوى من تبديل شريحة الهاتف إلى السلطات، وبلغت الخسائر في ذلك العام أكثر من $68 مليون. هذا ارتفاع حاد. وذلك قبل أن تجعل هيئة الاتصالات الفيدرالية حسابات الهاتف أهدافًا أكثر ثراءً بربطها بسجلات شخصية مفصلة.
المنطق ليس معقدًا. في الوقت الحالي، بعض حسابات الهاتف — خاصة المدفوعة مسبقًا — تحمل بيانات هوية قليلة. المهاجمون الذين يستهدفون تلك الحسابات يحصلون على رقم هاتف. بموجب القاعدة المقترحة، قد يحصلون على رقم هاتف بالإضافة إلى اسم، عنوان منزل، ورقم هوية حكومية. هذه حزمة كاملة للهندسة الاجتماعية. شركات الاتصالات نفسها تعرضت لاختراقات. البائعون تعرضوا لاختراقات. المزيد من البيانات المخزنة لفترة أطول يعني المزيد من التعرض عندما يحدث خطأ ما.
كما تطلب هيئة الاتصالات الفيدرالية من شركات الاتصالات جمع عناوين IP للمستخدمين ذوي الحجم الكبير. هذا يضيف طبقة أخرى من المعلومات الحساسة المحتملة التي تجلس في قواعد بيانات الاتصالات.
من يتم تغطيته — ومن لا يتم تغطيته
واحدة من أكبر الأسئلة غير المحلولة في الاقتراح هي النطاق. لم تقرر هيئة الاتصالات الفيدرالية بعد ما إذا كانت متطلبات “اعرف عميلك” ستطبق على جميع العملاء أو فقط على المنشئين التجاريين — مما يعني الشركات التي تولد كميات كبيرة من المكالمات.
هذا التمييز مهم للغاية. إذا كانت القاعدة تستهدف فقط المنشئين التجاريين، فربما لن يشعر معظم المستخدمين الفرديين بتغيير كبير. ولكن إذا قامت هيئة الاتصالات الفيدرالية بتمديد المتطلبات لتشمل جميع العملاء، بما في ذلك الحسابات التجزئة والمدفوعة مسبقًا، فإنها في الأساس نهاية الوصول المجهول للهواتف في الولايات المتحدة. بالنسبة لحاملي العملات الرقمية الذين استخدموا عمدًا خدمات الهاتف المدفوعة مسبقًا أو ذات متطلبات “اعرف عميلك” المنخفضة كطبقة خصوصية — خاصة لأن نموذج التهديد الخاص بهم يشمل الهجمات المستهدفة، الابتزاز، أو المخاطر الجسدية المرتبطة بالثروة المعروفة في العملات الرقمية — فإن هذا تغيير جدي.
تسأل هيئة الاتصالات الفيدرالية بشكل صريح ما إذا كان يجب على بطاقات SIM المدفوعة مسبقًا والعملاء التجزئة مواجهة نفس المتطلبات مثل المستخدمين ذوي الحجم الكبير. لا يوجد جواب حتى الآن. القرار النهائي بشأن هذا السؤال سيحدد ما إذا كانت هذه القاعدة في الغالب أداة لمكافحة المكالمات الآلية أو تصبح سطح هجوم جديد لمجتمع العملات الرقمية.
ليس حقًا هامش صغير. السؤال المدفوع مسبقًا هو في الواقع اللعبة بأكملها للمستخدمين المهتمين بالخصوصية.
فجوات الخصوصية التي لم تجب عليها هيئة الاتصالات الفيدرالية
ما يلفت الانتباه في الاقتراح هو ما لا يعالجه. لا يوجد إطار واضح في النص الحالي لكيفية حماية شركات الاتصالات للبيانات التي تجمعها. تعترف هيئة الاتصالات الفيدرالية — ومن الجدير أن نكون صريحين بشأن هذا — بأن الحمايات الحالية في الصناعة قد لا تكون كافية. تسأل الوكالة ما إذا كانت هناك حاجة إلى تدابير أمنية إضافية. هذا سؤال مفتوح، وليس سؤالًا محلولًا.
لذا تقترح هيئة الاتصالات الفيدرالية توسيع بصمة البيانات الشخصية لكل حساب هاتف بشكل كبير، بينما تعترف في الوقت نفسه بأنه من غير الواضح ما إذا كانت الضمانات الحالية قادرة على القيام بالمهمة. بالنسبة لأي شخص يكون رقم هاتفه هو أيضًا المفتاح لمحفظة عملات رقمية، فإن هذه الفجوة غير مريحة.
الهجمات الهندسية الاجتماعية لا تتطلب اختراقًا تقنيًا. مهاجم يعرف بالفعل اسمك، شركة الاتصالات الخاصة بك، وموقعك التقريبي — ربما من تسريب بيانات سابق — يتصل بخط دعم شركة الاتصالات الخاصة بك ويستخدم بيانات “اعرف عميلك” التي تم جمعها حديثًا لانتحال شخصيتك بشكل مقنع. شركات الاتصالات هي بالفعل حلقة ضعيفة في هذه السلسلة. قواعد البيانات الأكثر ثراءً تجعل الانتحال أسهل، وليس أصعب.
الاقتراح يترك هذا الخطر غير معالج بشكل أساسي. لا يوجد ذكر للتحقق الإلزامي متعدد العوامل قبل تغييرات الحساب، ولا يوجد معيار أمني أدنى لكيفية تخزين أو نقل شركات الاتصالات للبيانات المجمعة، ولا يوجد إطار مسؤولية يتجاوز الغرامة البالغة $2,500 لكل مكالمة المرتبطة بانتهاكات المكالمات الآلية.
بالنسبة لحاملي العملات الرقمية بشكل خاص، النتيجة هنا ربما تجبر على إعادة التفكير في الأمن بغض النظر عن الاتجاه الذي تسلكه هيئة الاتصالات الفيدرالية. إذا وصلت متطلبات “اعرف عميلك” الصارمة إلى جميع أنواع الحسابات، فإن المصادقة الثنائية القائمة على الهاتف تصبح حلقة أضعف مما هي عليه بالفعل. الانتقال نحو تطبيقات المصادقة، المفاتيح المادية، أو طرق الأمان الأخرى غير المعتمدة على الهاتف يبدأ في الظهور كخيار أقل اختيارًا وأكثر ضرورة.
لم تحدد هيئة الاتصالات الفيدرالية موعد التصويت النهائي. التعليقات العامة تنتهي في 25 يونيو، وقد تمر القاعدة بعدة جولات من المراجعة قبل أن يتم الانتهاء من أي شيء. من غير الواضح كم سيستغرق ذلك. لكن الاتجاه العام — المزيد من البيانات، الاحتفاظ لفترة أطول، جمع أوسع — يبدو محددًا بغض النظر عن قرار النطاق.
الخسائر البالغة $68 مليون في تبديل شريحة الهاتف المسجلة في عام 2021 حدثت قبل أن يكون أي من هذا التوسع في جمع البيانات في مكانه.
الأسئلة الشائعة
ما الذي تقترح هيئة الاتصالات الفيدرالية أن تجمعه شركات الاتصالات؟
تريد هيئة الاتصالات الفيدرالية من مزودي خدمات الصوت جمع أسماء العملاء، عناوينهم، بطاقات الهوية الحكومية، وعناوين IP للمستخدمين ذوي الحجم الكبير، والاحتفاظ بتلك البيانات لمدة أربع سنوات بعد انتهاء العلاقة مع العميل، مع غرامة قدرها $2,500 لكل مكالمة لعدم الامتثال.
كيف يرتبط اقتراح “اعرف عميلك” من هيئة الاتصالات الفيدرالية بهجمات تبديل شريحة الهاتف على حسابات العملات الرقمية؟
هجمات تبديل شريحة الهاتف — حيث يقوم المحتالون باختطاف رقم هاتف الضحية للوصول إلى حسابات العملات الرقمية — تسببت في خسائر تزيد عن $68 مليون في عام 2021 وحده؛ يمكن أن توفر بيانات “اعرف عميلك” الموسعة المخزنة من قبل شركات الاتصالات للمهاجمين معلومات أكثر ثراءً لانتحال شخصية العملاء وتنفيذ تلك الهجمات بسهولة أكبر.
