في الثاني من آذار/ مارس 2026، نُفِّذ اختراق منسّق طاول تسعة حسابات رسمية على منصة X (تويتر) تتبع لجهات حكومية سورية متعددة، ووُظفت لنشر محتوى غير لائق قبل أن تُستعاد السيطرة عليها، وحتى لحظة نشر هذا المقال، لم تُصدر السلطات السورية أي إفصاح تقني، بخصوص الحادثة.

نحاول هنا تحليل أسباب الهجوم المحتملة، ووضع الاستجابة الرسمية مقابل معايير الاستجابة للحوادث من هذا النوع، فالحكومة السورية على لسان وزارة الاتصالات 'أعلنت اتخاذ إجراءات عاجلة' وأشارت إلى أنها 'ستُعلن عن تفاصيل الإطار التنظيمي الجديد قريباً'، من دون نشر تفاصيل واضحة حول طبيعة الهجوم وماذا طاول، أو تحديد هوية الجهة التي قامت بالاختراق.

التزامن كمؤشر تقني

الملاحظة التقنية الأهم في حادثة اختراق الحسابات الرسمية ليست الاختراق في حد ذاته، بل توقيته. تسعة حسابات تابعة لجهات حكومية مختلفة — الأمانة العامة لرئاسة الجمهورية، الهيئة العامة للإذاعة والتلفزيون، الهيئة العامة للمنافذ البرية والبحرية، اللجنة العليا لانتخابات مجلس الشعب، وزارة النقل، وزارة التعليم العالي، مصرف سوريا المركزي، وزارة الشباب والرياضة، ووزارة التربية — جميعها اختُرقت في فترة زمنية ضيقة واحدة. هذا النمط يُقيّد نطاق الفرضيات المعقولة ويوجّه التحليل نحو وجود نقطة وصول مشتركة (Single Point of Compromise)، لا حملة استهداف فردية لكل حساب.

وفي تحليل حوادث الاختراق، يُشير التزامن عادةً إلى أحد سيناريوهين: إما بنية إدارية مشتركة تتحكم في الحسابات، أو أداة وسيطة تربطها. كلا السيناريوهين يعني أن المهاجم أنجز اختراقاً واحداً ففتحت له أبواب متعددة دفعة واحدة، هذا 'الهجوم' يتركنا أمام أربع فرضيات تذكر في المقال، وهي مرتّبة حسب الاحتمالية لتفسير ما حدث، مع الإشارة إلى أن غياب أي تحقيق رسمي يجعل هذا التحليل استنتاجياً لا قاطعاً.

4 سيناريوهات محتملة  للاختراق 

السيناريو الأول: اختراق بنية إدارية مركزية

يُفترض في هذا السيناريو أن الحسابات التسعة كانت تُدار من جهاز مركزي — وهو ترتيب تفرضه غالباً اعتبارات إدارية لا أمنية، وتزيد من احتمالية اعتماده المركزية الشديدة التي تنتهجها الإدارة السورية. في هذه الحالة، اختراق هذه البنية يمنح المهاجم وصولاً إلى جميع الحسابات المُدارة منها، ما يُفسّر التزامن الموثّق في الحادثة.

الآلية الأكثر مباشرة في تنفيذ هذه الفرضية هي اختراق نظام التشغيل ذاته عبر برمجية خبيثة Malware أو ثغرة Remote Code Execution، ما يمنح المهاجم سيطرة كاملة على الجهاز وما عليه من تطبيقات وحسابات وبيانات اعتماد مخزّنة وجلسات نشطة.

الآلية الآخرى هي Session Hijacking، وهي تقنية تستهدف ملفات الجلسة (Session Cookies) المحفوظة في متصفح الإنترنت. حين يسجّل مستخدم دخوله إلى أي منصة إلكترونية (فيسبوك، X، بريد إلكتروني)، يُنشئ المتصفح ملف جلسة مؤقتة يُغني عن الحاجة إلى إعادة إدخال كلمة المرور عند كل طلب أو جلسة جديدة، سرقة هذا الملف — عبر Malware أو هجمة Man-in-the-Browser أو XSS — تمنح المهاجم وصولاً مُعادلاً لوصول المستخدم الشرعي دون الحاجة إلى إدخال كلمة المرور.

هذه الفرضية ليست الأرجح، إذ على الرغم من المركزية الشديدة التي تنتهجها السلطة السورية المؤقتة، فإن طبيعة أداء الحسابات الرسمية والمخترقة ومحتواها لا يوحيان بأنها تُدار من كيان إداري واحد. غير أن التزامن في الاختراق يظل متوافقاً مع نموذج Single Point of Compromise، حيث يُنجز المهاجم اختراقاً واحداً يُفضي فوراً إلى الوصول الكامل.

السيناريو الثاني: اختراق منظومة البريد الإلكتروني الحكومي

تستند هذه الفرضية إلى آلية إعادة تعيين كلمة المرور Password Reset المعتمدة في منصة X: حين يطلب مستخدم إعادة تعيين كلمة المرور، تُرسل المنصة Reset Token إلى عنوان البريد الإلكتروني المرتبط بالحساب. إذا كانت الحسابات المخترقة مرتبطة بعناوين بريد إلكتروني تُديرها منظومة بريد إلكتروني حكومية مشتركة (Mail Infrastructure)، فإن اختراق هذه المنظومة يُتيح للمهاجم إعادة تعيين كلمات مرور جميع الحسابات المرتبطة بها في توقيت واحد، يندرج تحت هذه الفرضية سيناريوان متمايزان في نقطة الدخول وإن اشتركا في المنطق ذاته:

السيناريو أ — اختراق خادم البريد الإلكتروني (Mail Server) مباشرةً: يستهدف المهاجم البنية التحتية للبريد الإلكتروني الحكومي مباشرةً — سواء عبر استغلال ثغرة في خادم البريد (Mail Server Software)، أو اختراق بيانات اعتماد مسؤول النظام (Admin Credentials). هذا الوصول يمنحه القدرة على قراءة الرسائل الواردة إلى صناديق البريد المستهدفة بما فيها Reset Tokens الصادرة عن منصة X. ما يُميّز هذا السيناريو هو أن الوصول إلى خادم البريد الإلكتروني Mail Server لا يقتصر أثره على حسابات X — بل يعني بطبيعته الاطلاع على مراسلات داخلية حساسة، واحتمال الوصول إلى بيانات اعتماد إضافية لأنظمة أخرى مرتبطة بالبريد الإلكتروني، ما يجعله اختراقاً ذا تداعيات تتجاوز ما ظهر على السطح.

السيناريو ب — استغلال قواعد إعادة توجيه البريد الإلكتروني (Mail Forwarding Rules): لا يستلزم هذا السيناريو اختراق نظام البريد الإكتروني Mail Server بكامله. يكفي أن تكون عناوين البريد الإلكتروني المرتبطة بالحسابات المستهدفة مضبوطة على إعادة توجيه الرسائل الواردة — بما فيها Reset Tokens — إلى صندوق بريد مركزي واحد. في هذه الحالة، اختراق هذا الصندوق وحده يمنح المهاجم ما يحتاجه. 

غير أن هذه الفرضية — بسيناريويها — تطرح سؤالاً تحليلياً مهماً: إذا كان الاختراق قد طاول فعلاً المنظومة المركزية للبريد الإلكتروني الحكومي، فلماذا اقتصرت الحسابات المخترقة على تسعة حسابات بعينها على منصة X؟

الاحتمال الأول أن الحسابات التسعة المخترقة لم تكن مُفعّلة عليها المصادقة الثنائية — أو ما يُعرف بـ 2FA/MFA. وهي آلية أمان تُضيف طبقة تحقق ثانية مستقلة عن كلمة المرور: حتى لو امتلك المهاجم كلمة المرور أو Reset Token، يظل بحاجة إلى أداة تحقق إضافية لإكمال عملية تسجيل الدخول، تكون عادة رمزاً يصل عبر رسالة نصية أو تطبيق مصادقة على الهاتف، أو مفتاح أمان Security Key. هذه الاستقلالية هي ما يجعل 2FA حاجزاً فعّالاً ضد اختراق الحسابات — فاختراق البريد الإلكتروني وحده لا يكفي لتجاوزها. وعليه، إذا كانت الحسابات التسعة تفتقر إلى هذه الحماية، فإن امتلاك الـ Reset Token كان كافياً للاستحواذ الكامل عليها، فيما أخفق الهجوم مع الحسابات الأخرى التي كانت تعتمدها.

الاحتمال الثاني — وهو الأخطر — أن ما ظهر على السطح من اختراق حسابات X الرسمية لا يعكس بالضرورة الحجم الفعلي للاختراق (Breach). فاختراق منظومة البريد الإلكتروني الحكومية المركزية يعني بطبيعته وصولاً محتملاً إلى طيف أوسع بكثير من الأنظمة والخدمات المرتبطة بها. وفي غياب أي إفصاح جنائي رقمي (Forensic Disclosure) رسمي، يبقى نطاق الضرر الفعلي (Blast Radius) لهذا الاختراق — إن صحّت الفرضية — مجهولاً.

إذا صحّت هذه الفرضية، فهي تعني أن حسابات جهات حكومية ذات حساسية عالية كانت تفتقر إلى أحد أبسط ضوابط الأمن وأكثرها فاعلية — وهو ما يطرح تساؤلات جدية حول مستوى الامتثال للحد الأدنى من معايير الأمن السيبراني (Security Baseline)  في إدارة الحضور الرقمي الحكومي.

السيناريو الثالث: اختراق أداة إدارة خارجية (Third-Party) للحسابات 

في هذا السيناريو، تكون الحسابات مرتبطة بأداة إدارة خارجية (Third-Party) متخصصة في إدارة حسابات منصات التواصل الاجتماعي — لإدارة المحتوى أو الرسائل أو تحليل البيانات — وتملك هذه الأدوات عادةً وصولاً تفويضياً إلى الحسابات عبر رموز تفويض (OAuth tokens). اختراق هذه الأداة — سواء عبر ثغرة في واجهتها البرمجية (API)، أو تسريب بيانات اعتماد حساب الإدارة (Credentials)، ، أو هجوم على سلسلة التوريد الرقمية (Supply Chain Attack) يستهدف مزوّد الخدمة نفسه — يُفضي إلى نتيجة واحدة: يحصل المهاجم على رموز التفويض (Tokens) المخوّلة للوصول إلى جميع الحسابات المُدارة، واستخدامها بشكل كامل.

السيناريو الرابع: التصيد الاحتيالي الموجّه (Spear Phishing)

تعتمد هجمات Spear Phishing على استهداف أفراد بعينهم بمراسلات مخصصة تدفعهم إلى إدخال بيانات اعتمادهم في صفحات مزيفة. هذا الأسلوب ناجع بصفة عامة، لكنه يستلزم وقتاً في مرحلة الاستطلاع (Reconnaissance) ويفضي عادةً إلى اختراقات متتالية لا متزامنة. التزامن الموثّق في هذه الحادثة يجعل Spear Phishing سيناريو مستبعداً — وإن كان قد يكون عنصراً ضمن سلسلة هجوم أوسع.

الجدول التالي يلخّص المقارنة بين الفرضيات الأربع حسب أرجحيتها التقنية:

هذا التحليل مبني على المعطيات المتاحة للعموم، لا على تحقيق جنائي رقمي (Digital Forensics). الحكم النهائي على سبب الهجوم يستلزم تحليل السجلات (Logs)، فحص الأجهزة المتأثرة، ومراجعة إعدادات الحسابات — وهو ما لا يُتاح خارج التحقيق الرسمي.

الأثر الفعلي للاختراق: ما وراء المنشورات الهزلية ومخاطر 'السكرين شوت'

التركيز على المحتوى الهزلي الذي نُشر على 'المعرفات الرسمية' أثناء الاختراق يُغفل السؤال الأكثر أهمية: ما الذي وصل إليه المهاجمون فعلاً؟ بصورة ما، ما هي الصلاحيات التي امتلكها المخترقون؟

الوصول إلى حساب X لا يعني القدرة على النشر فحسب، بل يعني أيضاً الوصول الكامل إلى صندوق الرسائل الخاص بالحساب (DMs). في حسابات جهات كالأمانة العامة لرئاسة الجمهورية ومصرف سوريا المركزي، صندوق الرسائل هذا قد يحتوي على تنسيقات وثيقة الصلة بالعمل المؤسسي. هل جرى توظيف فترة الاختراق لتنفيذ عملية Data Exfiltration — أي سرقة هذه المراسلات — أم اقتصر الأمر على النشر على الحسابات؟ لا أحد يعرف، وغياب أي إفصاح جنائي رقمي (Forensic Disclosure) يُبقي هذا السؤال مفتوحاً.

الاستجابة الرسمية: ما قِيل وما غاب

اقتصر التعاطي الرسمي السوري مع الحادثة على بيانين: تصريح «مجهول المصدر» لقناة الإخبارية السورية أفاد بأن «عددًا من الحسابات الحكومية تعرّض لهجمات سيبرانية، ما أدى إلى فقدان الوصول إليها بشكل مؤقت»، وبيان من وزارة الاتصالات وتقانة المعلومات أشار إلى التنسيق مع مديري الحسابات المتأثرة، وأعلن عن إطار تنظيمي قادم. هذان البيانان هما مجمل ما صدر، ولم يتبعهما أي إفصاح تقني خلال الأسابيع الثلاثة اللاحقة.

في الاستجابة للحوادث التقنية Incident Response، يُعدّ الإفصاح المبكر Timely Disclosure جزءاً لا يتجزأ من معالجة الحادثة، لا رفاهيةً إعلامية. أطر معيارية كـ NIST SP 800-61 وISO/IEC 27035 تحثّ المؤسسات على إبلاغ الأطراف المتأثرة وتوفير المعلومات اللازمة لتقييم المخاطر — وذلك بالتوازي مع التحقيق، لا بعد اكتماله.

الإفصاح التقني لا يعني نشر كل شيء — بل يعني ألا يُترك الفراغ المعلوماتي لجهات أخرى تملؤه.

ما الذي كان ينبغي الإفصاح عنه في غضون 72 ساعة من الحادثة على أقل تقدير؟ الجدول التالي يضع الاستجابة الفعلية في مقابل الحد الأدنى المطلوب:

كيف يكون التعاطي مع هذا النوع من الاختراقات أو الحوادث التقنية عادةً؟

ما يلفت الانتباه ويثير التساؤلات هو سرعة الرد الرسمي (ثاني يوم على الاختراق) الذي لم يقدم أي تفسير أو يقول ما حصل في البنية الاتصالية الرسميّة، ولا حتى أسماء الجهات الرسمية التي تعرضت للاختراق، وحين توضع هذه 'الحادثة' في سياق مقارن نكتشف التجاوب المعتادة.

في حادثة الاختراق التي تعرضت لها منصة Twitter عام 2020 — التي طاولت 130 حساباً رفيع المستوى — نشرت المنصة تقريراً تقنياً أولياً خلال أيام قليلة حدّدت فيه آلية الهجوم (Phone Spear Phishing ضد موظفين محددين)، ونطاق الوصول (حسابات بعينها + بريد إلكتروني لعدد محدود)، والإجراءات التصحيحية المتخذة — وذلك بالتوازي مع تحقيق جنائي لا يزال جارياً. وحين استهدف الجيش السوري الإلكتروني موقع واشنطن بوست عام 2013، أدلى المسؤول التقني بتصريح في اليوم ذاته حدّد فيه مصدر الاختراق ونطاقه قبل اكتمال أي تحقيق رسمي. وفي كانون الثاني/ يناير 2024، حين اخترق مجهول الحساب الرسمي لهيئة الأوراق المالية الأميركية SEC، ردّت الهيئة بخمسة بيانات خلال أسبوعين — أولها في غضون ساعات — حدّدت فيها آلية الاختراق وأكدت أن بيانات المستخدمين لم تتأثر، بالتوازي مع تحقيق مفتوح مع جهات إنفاذ القانون الفيدرالية.

وعلى الطرف الآخر من هذا الطيف، حين تعرّض حساب المجلس الأعلى لتنظيم الإعلام المصري لمحاولة اختراق عام 2022، اقتصر التعاطي على بيان مقتضب أقرّ بالمحاولة من دون تفاصيل تقنية — وهو نموذج أقرب إلى ما صدر عن الجهات السورية، لكنه يبقى أفضل منه بمراحل كونه على الأقل أقرّ بالحادثة صراحةً وفي توقيتها.

أهمية النظر في هذه الحوادث يكمن بداية في تكرارها، في الثامن من آذار/ مارس 2026 — أي بعد أسبوع من اختراق الحسابات الحكومية على X — تعرض تطبيق شام كاش لتعطل كامل إثر تقييد شركة الاستضافة للنطاق (Domain) الخاص بالتطبيق، ما شل منظومة الدفع الإلكتروني الوحيدة في البلاد: موظفات وموظفو القطاع العام الذين تصرف رواتبهم عبره، وملايين المواطنات والمواطنين وقطاع الأعمال الذين يعتمدون عليه في الحوالات المالية وتسديد فواتير الخدمات الأساسية من كهرباء ومياه واتصالات.

شام كاش ليس مجرد تطبيق اختياري — بل هو البنية التحتية المالية الرقمية التي فرضتها السلطة السورية على القطاع العام بشكل شبه إلزامي. مع دخولنا الأسبوع الثاني على الحادثة، لم يصدر أي تصريح رسمي يشرح ما حدث، ولم تبادر أي جهة حكومية إلى طمأنة المواطنات والمواطنين على رواتبهم أو المودعين على ودائعهم.

حادثتان في أسبوع واحد — اختراق تسعة حسابات حكومية على X، وتعطل التطبيق المالي الوحيد في البلاد — والقاسم المشترك بينهما: غياب تام للتواصل الرسمي مع الرأي العام. هذا التقصير يظهر كنمط يتضح مع اعتماد الحكومة السورية على وسائل التواصل الاجتماعي كمنصات رسميّة لنشر القرارات الرسمية والتواصل مع السوريين عوضاً عن المواقع الرسمية التي ما زالت في غالبيتها معطلة أو غير فعّالة، أو لم يتم تحديثها، ما يترك البيئة الاتصالية الرسمية بين السلطة والمواطنين، تخضع لاعتبارات الأمن الرقمي وشبكات التواصل الاجتماعي التي هي بالنهاية شركات خاصة!.

مخاطر توظيف الحساب الرسمي لنشر معلومات مضللة

ثمة فارق جوهري بين محتوى مضلّل يُنشر من حساب مجهول ومحتوى مماثل يُنشر من حساب حكومي رسمي موثّق. الوزن المصداقي للمصدر الرسمي يُضاعف أثر أي محتوى مضلّل يمر عبره. هذا ليس سيناريو افتراضي مجرّد: في نيسان/ أبريل 2025، أسفر تسجيل صوتي مفبرك — نُسب زوراً إلى شخصية دينية — عن موجة اعتداءات طائفية راح ضحيتها ما لا يقل عن 12 مدنياً في مناطق متعددة إثر استهداف طلاب جامعيين ومناطق مدنية. التسجيل انتشر عبر قنوات غير رسمية، ومع ذلك كان هذا أثره. فما الذي يمكن أن يُحدثه محتوى مماثل لو صدر من حساب رسمي موثّق لرئاسة الجمهورية؟

ما بعد الصمت الرسمي

الاختراق السيبراني حادثة إجرائية يمكن معالجتها، وسوابقها الدولية كثيرة. ما يُميّز هذه الحادثة ليس وقوعها، بل ما يتبعها: غياب أي إفصاح تقني بعد ثلاثة أسابيع يُعيد تأطير المشكلة من حادث تقني إلى إخفاق مؤسسي في إدارة الحوادث والتواصل مع الرأي العام.

من منظور الإستجابة للحوادث (Incident Response)، الوضع الراهن يعني أن المواطن لا يزال يجهل ما إذا كانت بياناته أو مراسلاته مع هذه الجهات قد تأثرت. كما أن الغياب التام لأي مؤشرات اختراق (Indicators of Compromise) أو توصيات أمنية يحرم المؤسسات الأخرى — سواء في القطاع العام أو الخاص — من الاستفادة من هذه الحادثة للتحقق من وضعها الأمني وحماية منصاتها وبنيتها التحتية الرقمية.

وما يوصى به عادة هو إصدار تقرير أولي Public Incident Report يُحدد على أقل تقدير نطاق الاختراق المؤكّد، والإجراءات التصحيحية المتخذة، والأسئلة التي لا تزال قيد التحقيق. الشفافية الجزئية أفضل من الصمت التام — لأن الأول يُبقي الجهة مصدراً للمعلومات، فيما الثاني يتركها تفتح المجال لروايات لا تملك دقتها ولا مسؤوليتها.