המשתמשים חשבו שפרצו ל-x, אבל זה רק מאסק שממשיך לחסל את טוויטר
הכרזה מפתיעה של X הביאה משתמשים לחשוש מאירוע אבטחה - אבל אז התברר: ה-Passkeys פשוט רשומים לדומיין הישן
תמונה: נוצרה באמצעות AI
מאז שהשתלט אילון מאסק על הרשת החברתית טוויטר, הוא עשה לא מעט צעדים שנויים במחלוקת כדי לוודא שמהמותג הישן לא נשאר יותר מדי זכר. בשלוש השנים שחלפו מאז רכש את הרשת בסכום של 44 מיליארד דולר, הוא צמצם את כוח העבודה בחברה, החליף את השם ל-"X", העביר את מטה החברה מקליפורניה לטקסס והכניס לא מעט שינויים שגררו ביקורת. אבל הצעד האחרון שביצעה X בדרך להרוג את המותג "טוויטר", הצליח לעורר חרדה בקרב משתמשים ואנשי אבטחת מידע.
במהלך סוף השבוע הכריזה X כי על כל המשתמשים שמסתמכים על Passkeys פיזיים עבור אימות דו שלבי, לרשום אותם מחדש עד ל-10 בנובמבר, או שהגישה לחשבון שלהם תיחסם. למרות ההודעה הדרמטית, ב-X לא טרחו בהתחלה להסביר מה עומד מאחורי הצעד, מה שהוביל את הגולשים ההמומים להניח שמדובר בפרצת אבטחה חדשה שהתגלתה.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
זה כמובן לא מפתיע – בדרך כלל כשחברה כופה על המשתמשים שלה לבצע רענון למפתחות האבטחה הפיזיים מדובר באינדיקציה לכך שהיא מטפלת באירוע אבטחתי, כמו למשל סילוק תוקפים מהרשת הפנימית וניסיון לנעול אותם בחוץ. אבל אחרי יומיים של בלבול, ב-X החליטו להבהיר מה בדיוק הם עושים.
"למען ההבהרה: השינוי אינו נובע מחשש אבטחתי, והוא נוגע רק למפתחות Yubikey ול-Passkeys – לא לשיטות אימות אחרות כמו אפליקציות מאמתות", כתבו ב-X Safety, "מפתחות אבטחה שנרשמו בעבר ל-2FA מקושרים כיום לדומיין twitter.com. רישום מחדש של מפתחי האבטחה שלכם יאפשר לקשר אותם לדומיין החדש x.com – מה שיאפשר לנו להפסיק את השימוש בדומיין הישן של טוויטר". אז לא בעיית אבטחה ולא תוקף מוכשר, למעשה, מטרת המהלך היא לנתק סופית את הקישור לדומיין הישן של טוויטר ולעבור ל-x.com.
To clarify: this change is not related to any security concern, and only impacts Yubikeys and passkeys – not other 2FA methods (such as authenticator apps). Security keys enrolled as a 2FA method are currently tied to the twitter[.]com domain. Re-enrolling your security key will… https://t.co/PlXOTnNXPM
— Safety (@Safety) October 26, 2025
מה יקרה ב-10 בנובמבר
למעשה, מפתחות אבטחה פיזיים הקשורים לדומיין הישן לא יפעלו ברגע שהמשתמשים ינסו לבצע אימות דרך הדומיין החדש x.com, ולכן יש לרשום אותם מחדש כבר כעת, כהכנה למה שנראה כהפסקת השימוש המלאה בדומיין של טוויטר. מהנדס האבטחה של X ו-SpaceX, כריסטופר סטנלי, אמר כי ביקש מצוות הבטיחות להוציא את ההבהרה הזו לאחר שראה את הבלבול בקהילה ברשת.
סטנלי הסביר: "אנחנו רוצים להיפטר מהמפתחות שרשומים על דומיין טוויטר, כדי להפסיק להשתמש בפתרונות עוקפים ולא יציבים. מפתחות אבטחה פיזיים רשומים קריפטוגרפית לדומיין של טוויטר, וצריך לרשום אותם מחדש תחת X".
אבל יש גם עניין מעבר: הצעד של X מצטרף לשורת צעדים שמבצעות ענקיות הטכנולוגיה לקראת "עולם ללא סיסמאות" ומעבר לשימוש ב-Passkeys, שמקשים על תקיפות מכוונות לחשבונות משתמשים. סיסמאות, כידוע, ניתנות לגניבה בדרכים רבות – מפישינג ועד הונאות הנדסה חברתית. לעומתן, Passkeys מחליפים את הסיסמה במכשירים פיזיים כמו סמארטפון או מחשב אישי, המשמשים לזיהוי מאובטח מול השירות.
מעבר למה שנראה כמו עוד שינוי מיתוגי של אילון מאסק, מדובר בצעד שמהווה חלק ממגמה רחבה יותר בתעשייה: השאיפה להיפטר מסיסמאות ולעבור לאימות חכם, מוצפן ואישי. על הדרך זה גם עוזר למאסק להיפטר מעוד חתיכה בהיסטוריה של הרשת החברתית שלו.
