·  ·  · 

השבתת ההתחברות ל-X: מעבר למפתחות אבטחה ב-X.com נועל משתמשים מחוץ לחשבונם כש-Twitter.com נסגר סופית (13 בנובמבר 2025)

נובמבר 14, 2025
by
X Login Outage: Security Key Switch to X.com Locks Out Users as Twitter.com Finally Dies (November 13, 2025)

מיליוני משתמשי X (לשעבר טוויטר) שעשו "הכול נכון" מבחינת אבטחת חשבון, בילו את 24 השעות האחרונות מחוץ לחשבון, תקועים בלולאות אינסופיות של אימות דו-שלבי ומקבלים הודעה מבלבלת:

“You must re‑enroll your YubiKey.”

התקלה קשורה ישירות למאמציו המתמשכים של אילון מאסק למחוק את השרידים האחרונים של twitter.com ולהעביר את ההתחברויות במלואן ל-x.com — מעבר מותג ודומיין שמבקריו כבר ראו כאחת מההחלפות המבולגנות ביותר בהיסטוריית הטכנולוגיה. [1]

הנה מה שקרה, מה חדש היום (13 בנובמבר 2025), ומה אפשר לעשות אם חשבון ה-X שלך כרגע תקוע בגיהנום האימות.

מה קרה: המעבר של X למפתחות אבטחה השתבש

ב-24–27 באוקטובר, X הזהירה בשקט משתמשים שאם הם משתמשים במפתח אבטחה פיזי (כמו YubiKey) או passkey לאימות דו-שלבי (2FA), הם חייבים להירשם מחדש עבור הדומיין החדש x.com עד ל-10 בנובמבר 2025, אחרת הם עלולים להינעל מחוץ לחשבון. [2]

צוות הבטיחות של X הדגיש אז ש:

  • השינוי היה “not related to any security incident,”
  • הוא רק השפיע על מפתחות אבטחה ו-passkeys,
  • והוא נדרש כי המפתחות האלו קשורים קריפטוגרפית ל-twitter.com, ש-X רוצה להפסיק להשתמש בו. [3]

אתרי אבטחה כמו BleepingComputer ו-The Register הסבירו שברגע ש-twitter.com ייעלם, מפתחות הקשורים לדומיין הזה פשוט לא יעבדו — ולכן יש לרשום אותם מחדש מול x.com. [4]

זו הייתה התוכנית.

המציאות הגיעה השבוע.

12–13 בנובמבר: שגיאת YubiKey ולולאות התחברות אינסופיות

החל מסוף 12 בנובמבר (שעון ארה"ב) ועד לשעות המוקדמות של 13 בנובמבר 2025, משתמשי X החלו לדווח שאינם מצליחים להיכנס דרך האינטרנט או הנייד:

  • לאחר הזנת הסיסמה, נאמר להם שהם “must re‑enroll [their] YubiKey” כדי לשייך אותו ל-x.com. [5]
  • כאשר הם ניסו לעקוב אחרי ההוראות, התהליך פשוט… חזר על עצמו בלולאה.
  • חלקם מעולם לא החזיקו YubiKey, אך עדיין נאלצו להתמודד עם אותו מסך “הירשם מחדש עם ה-YubiKey שלך”. [6]

Android Central, Windows Central ו-TechCrunch תיעדו כולם את אותה תבנית: תקלה עולמית בהתחברות לחשבונות המקושרים למפתחות אבטחה או passkeys, שלרוב הסתיימה במבוי סתום באימות או נעילה מוחלטת, גם כאשר המשתמשים פעלו לפי ההוראות כראוי. [7]

אתר האבטחה The Tech Buzz תיאר זאת בפשטות כ-“הגירת מפתחות אבטחה” שנכשלה והפכה תחזוקת דומיין ל“גיהנום אימות” עבור המשתמשים הזהירים ביותר בפלטפורמה. [8]

עדכון להיום (13 בנובמבר 2025): התאוששות חלקית, כאוס נמשך

דיווחים חדשים ופוסטים של משתמשים היום מצביעים על כך שהחלק הגרוע ביותר של התקלה מתחיל להסתיים — אך לא כולם חזרו עדיין.

מערכות חדשות: התקלה אושרה, X עדיין שותקת ברובה

  • NewsBytes מדווח כי X “מתמודדת עם תקלה חמורה לאחר שינוי חובה באימות דו-שלבי”, מה שהותיר משתמשים “תקועים בלולאות אינסופיות או נעולים לחלוטין”, ומציין כי X לא הגיבה פומבית לתקלה. [9]
  • Storyboard18 מתאר גם הוא “עדכון אבטחה כושל” שנעל משתמשים או לכד אותם בלולאות התחברות — ושוב מדגיש כי X לא סיפקה הסבר רשמי בעוד אילון מאסק ממשיך לפרסם כרגיל מחשבונו. [10]
  • Tech Buzz עדכן את הסיפור הבוקר כדי לשקף כישלונות אימות מתמשכים והיעדר הצהרה רשמית מ-X. [11]

TechCrunch מציין כי X “לא הגיבה לבקשה לתגובה”, גם כאשר הסיקור שלה עצמה תיאר לולאות אינסופיות ונעילות נרחבות לאחר מועד היעד ב-10 בנובמבר. [12]

דיווחי משתמשים: חזרה לאחור בעיצומה, אך לא לכולם

בלוג הלייב של

Windows Central, שציטט מקורות פנימיים, דיווח ב-12 בנובמבר כי מהנדסי X מחזירים לאחור שינויים אחרונים, ובאמצע אחר הצהריים הכותב הצליח להתחבר מחדש בזמן שדיווחים על תקלות ב-DownDetector החלו לרדת. [13]

בקבוצות r/Yubikey ו-r/Twitter של Reddit, משתמשים מתארים: [14]

  • בעיות גלובליות בזרימת ההתחברות של YubiKey/passkey ב-X.
  • הודעות מבלבלות ל-“להירשם מחדש עם ה-YubiKey שלך” אפילו עבור אנשים שהשתמשו רק ב-passkeys או אפליקציות מאמת.
  • גל של תגובות מוקדם היום כמו “הצלחתי להיכנס שוב” ו-“תוקן בשני החשבונות שלי”לצד אחרים שאומרים שהם עדיין חסומים.

תגובה נפוצה ב-Reddit מתייחסת לפוסט של מהנדס X מאומת שאומר כי “בעיית ההתחברות עם מפתח האבטחה אמורה להיפתר בקרוב,” אך ברור שהפתרון מתגלגל בצורה לא אחידה: חלק מהחשבונות עובדים שוב, אחרים עדיין תקועים בלולאה. [15]

בשורה התחתונה ל-13 בנובמבר:

  • התקלה משתפרת אך עדיין לא הסתיימה לחלוטין.
  • עדיין אין דו"ח פומבי ומפורט מ-X.

מי מושפע — ומי לא?

בהתבסס על דיווחים מסיקור היום ופוסטים של משתמשים: [16]

הכי מושפעים:

  • חשבונות שאי פעם הגדירו:
    • מפתח אבטחה פיזי (YubiKey או דומה), או
      • passkey
    • (מאמת פלטפורמה באמצעות Face ID, Touch ID, Windows Hello וכו')
  • במיוחד משתמשים שמפתחותיהם נרשמו במקור כאשר השירות עוד השתמש ב-twitter.com להתחברויות.

כמעט לא מושפעים (בינתיים):

  • חשבונות שמשתמשים במאמתים מבוססי אפליקציה (אפליקציות TOTP),
  • חשבונות שמשתמשים בקודי SMS או דוא"ל ל-2FA,
  • חשבונות ללא 2FA (אם כי זה מאוד לא מומלץ מבחינה אבטחתית).
באופן אירוני, האנשים שהשקיעו בהגנות החזקות ביותר — טוקנים פיזיים ו־passkeys — נענשו הכי הרבה בעקבות ההגירה הכושלת הזו. מספר דיווחים של משתמשים גם מצביעים על כך שחלק מהמשתמשים שלא השתמשו במפתחות נגררו לטעות בגלל תהליך התחברות שגוי שלא זיהה נכון את ההגדרות שלהם. [17]

מדוע המעבר מ־twitter.com ל־x.com שבר את ההתחברות

כדי להבין את התקלה, צריך להבין איך מפתחות אבטחה ו־passkeys עובדים.

בניגוד לסיסמאות, מפתחות אבטחה WebAuthn/FIDO2 ו־passkeys הם קשורים לדומיין מסוים. כאשר נרשמת לראשונה עם מפתח עבור twitter.com, הוא ננעל קריפטוגרפית לאותו מקור בדיוק. [18]

אז כאשר X החליטה לבטל סופית את הדומיין הישן ולהעביר את ההתחברות במלואה ל־x.com:

  1. מפתחות שנרשמו ל־twitter.com הפסיקו להתאים לדומיין החדש.
  2. לכן X דרשה מהמשתמשים להסיר ולהרשם מחדש עבור x.com.
  3. נראה כי תהליך ההרשמה מחדש עצמו היה שבור, וגרם ל:
    • לולאות אינסופיות חזרה למסך “הרשם מחדש את ה־YubiKey שלך”,
    • הנחיות להתחברות עם YubiKey בחשבונות שהשתמשו רק ב־passkeys או אפליקציות,
    • משתמשים שלא הצליחו להגיע לעמוד ההגדרות שבו יש לבצע את השינוי. [19]

X Safety הרגיעו בעבר את המשתמשים שמדובר בתחזוקה פשוטה ו“לא קשורה לחשש אבטחתי כלשהו,” אך הביצוע נכשל בבירור בציפיות הבסיסיות לאמינות: הגירות אבטחה אמורות להגן על אנשים, לא לנתק אותם בהמוניהם. [20]

האם מדובר בפריצה או דליפת מידע?

אין שום ראיה עד כה שמדובר בפריצה, דליפה או מתקפת סייבר חיצונית.

  • הבהרות של X מאוקטובר הציגו את איפוס המפתחות כ־הגירת דומיין, לא תגובה לאירוע. [21]
  • דיווחים עדכניים מ-NewsBytes, Storyboard18, TechBuzz, TechCrunch ואחרים כולם מקשרים את התקלה ל-יישום כושל של העברת מפתחות האבטחה המתוכננת, ולא לפגיעה במערכות של X. [22]

עם זאת, X עדיין לא פרסמה הסבר טכני מפורט, ולכן משקיפים חיצוניים עדיין מנסים להרכיב את שורש הבעיה מתוך התנהגות והערות פנימיות שהודלפו.

מה לעשות אם ננעלתם מחוץ לחשבון X שלכם

אם אתם כרגע תקועים בלולאת YubiKey/passkey, הנה צעדים מעשיים שנלקחו מההנחיות הקודמות של X ומהמלצות מומחי אבטחה. [23]

1. נסו ממכשיר שבו אתם כבר מחוברים לחשבון

אם עדיין יש לכם סשן פעיל של X ב:

  • טלפון,
  • טאבלט, או
  • פרופיל דפדפן אחר,

השתמשו בסשן המחובר כדי:

  1. גשו אל הגדרות → אבטחה וגישה לחשבון → אבטחה → אימות דו-שלבי.
  2. בצעו השבתה זמנית של מפתח האבטחה/ה-passkey הישן שמפנה ל-twitter.com.
  3. הוסיפו שיטת 2FA גיבוי (אפליקציית מאמת או מפתח חומרה נוסף) אם עדיין אין לכם אחת.
  4. רשמו מחדש את ה-YubiKey/passkey שלכם עבור x.com רק כאשר בעיות ההעברה ייפתרו בבירור.

2. בדקו אפשרויות 2FA נוספות

חלק מהמשתמשים מדווחים שהם עדיין מצליחים להיכנס דרך: [24]

  • אפליקציית מאמת שהוגדרה בעבר,
  • קודי SMS או דוא"ל,
  • מפתח חומרה גיבוי.

אם אתם יכולים לאמת את עצמכם עם אחת מהאפשרויות, גשו מיד להגדרות ואמתו:

  • אילו מפתחות אבטחה רשומים,
  • האם המפתח שלכם כעת משויך ל-x.com,
  • ושיש לכם לפחות שיטת גיבוי פעילה אחת.
3. השתמשו בטופס שחזור החשבון של X

אם אף שיטת התחברות לא עובדת ואתם נעולים לחלוטין מחוץ לחשבון, הדרך הרשמית היחידה היא לפנות לתמיכת X דרך טופס "השבת גישה לחשבון שלך", שלדברי משתמשים רבים ב-Reddit זו הייתה האופציה שנאלצו לבחור בה. [25]

התהליך הזה עלול להיות איטי ואין הבטחה להצלחה, אבל זו הדרך הלגיטימית היחידה ש-X מציעה אם 2FA לא עובד.

4. הימנעו מלכבות את 2FA לחלוטין (אם אפשר)

האזהרות של X לפני המועד האחרון אמרו שאחרי 10 בנובמבר תוכלו: [26]

  • להירשם מחדש עם המפתח או passkey,
  • לעבור לשיטת 2FA אחרת, או
  • לכבות את 2FA לחלוטין (דבר שהם עצמם "ממליצים בחום להימנע ממנו").

אלא אם כן אתם חייבים להיכנס מיד ואין לכם שום אפשרות אחרת, נסו לא לכבות את 2FA לצמיתות. פעולה זו חושפת את החשבון שלכם לפישינג, שימוש חוזר בסיסמאות ותקיפות SIM‑swap — בדיוק האיומים שמפתחות אבטחה נועדו למנוע.

אם תחלישו זמנית את האבטחה כדי לשחזר גישה, תכננו:

  1. להוסיף מיד אפליקציית מאמת או מפתח גיבוי, ו
  2. להפעיל מחדש 2FA חזק ברגע שמערכות ההתחברות של X יתייצבו.

5. היזהרו מהודעות פישינג ו"תמיכה" מזויפת

מקרים כאלה הם מגנט לנוכלים. היזהרו מ:

  • אימיילים שטוענים שהם מ-"X Security" ומבקשים "לתקן" את המפתח שלכם,
  • הודעות פרטיות שמציעות לשחזר את החשבון שלכם בתשלום,
  • קישורים שנראים כמו x.com אבל אינם (תווים נוספים, תתי-דומיינים מוזרים וכו').

אם אתם עומדים ללחוץ על משהו, הקלידו בעצמכם x.com בדפדפן ונווטו דרך הממשק הרשמי במקום לסמוך על קישורים בהודעות.

מעידה אחרונה למיתוג מחדש הארוך והמבולגן של X

מבחינת מיתוג, התקלה הזו היא סמלית וקשה במיוחד.

  • אתר העיצוב Creative Bloq כינה לאחרונה את המיתוג מחדש של X של מאסק "אחד ממיתוגי-העל המבולגנים של העשור", וציין שאנשים עדיין מתייחסים לאינסטינקטיבית לפלטפורמה כ"X, לשעבר טוויטר" גם יותר משנתיים לאחר מכן. [27]
  • הכתבה ציינה שאחד השרידים הטכניים האחרונים של טוויטר — כתובת ה-twitter.comסוף סוף יוצאת משימוש, וההתחברויות מופנות כעת במלואן ל-x.com.

כעת, עצם המעשה של קבורת twitter.com החזיר את המותג הישן לכותרות, כאשר משתמשים מתלוננים ש"טוויטר שוב פישלה" בזמן שניסו לתקן את השרידים האחרונים של… טוויטר. [28]

עבור מבקרים, האירוע הזה משתלב בדפוס עליו הצביעו מאז הרכישה של מאסק: שינויים אגרסיביים ומוכתבים מלמעלה שמיושמים במהירות גבוהה, עם צוותי הנדסה מצומצמים ורשתות בטחון שנראות מוגבלות. כלי תקשורת רבים היום מציגים במפורש את התקלה הזו כעוד כישלון תפעולי בסדרה מאז הרכישה ב-44 מיליארד דולר. [29]

האם זה אומר שמפתחות גישה ומפתחות אבטחה הם רעיון רע?

תשובה קצרה: לא — אבל זו אזהרה לגבי איך מיישמים אותם.

דיווחים של BleepingComputer, The Verge ו-The Register כולם מדגישים שמפתחות חומרה ומפתחות גישה הם עדיין בין אמצעי האימות המאובטחים ביותר הקיימים כיום. הם מפחיתים משמעותית את הסיכון לפישינג כי הם יגיבו רק ב-דומיין המדויק שבו נרשמו. [30]

מה שלא עבד כאן לא הייתה הטכנולוגיה הבסיסית. זה היה:

  • תכנון הגירה לקוי (הכרחת הרשמה מחדש מול דדליין קשיח),
  • תהליך הרשמה מחדש עם תקלות וללא פתרון גיבוי אמין,
  • תקשורת חלשה בזמן התקלה, שהשאירה את המשתמשים לפתור תקלות אבטחה בפומבי. [31]

עבור פלטפורמות אחרות שצופות במה שקורה, הלקח ברור:

אם אתם עומדים להעביר מיליוני משתמשים לדומיין חדש עם אישורים הקשורים לחומרה, אתם צריכים בדיקות חסינות, השקה הדרגתית ונתיבי שחזור חזקים.

שאלות נפוצות: תקלה במפתח האבטחה של X, 13 בנובמבר 2025

מה גרם לתקלה בהתחברות ל-X?
העברה כפויה של מפתחות אבטחה ו־passkeys מהדומיין twitter.com אל x.com, בשילוב עם תהליך רישום מחדש שבור שגרם למשתמשים להיתקע בלולאות YubiKey/passkey וחסם גישה להגדרות החשבון. [32]

מי הושפע הכי הרבה?
משתמשים שהגדירו מפתחות אבטחה פיזיים או passkeys ל־2FA, במיוחד כאלה שהמפתחות שלהם נרשמו במקור כאשר ההתחברות עדיין השתמשה ב־twitter.com. רבים מהם ננעלו זמנית או עדיין ננעלו לחלוטין. [33]

האם הבעיה נפתרה כעת (13 בנובמבר 2025)?
דיווחים מ־Windows Central ו־Reddit מראים שרבים מהמשתמשים יכולים להתחבר שוב לאחר ש־X כנראה החזירה חלק מהשינויים, אך אחרים עדיין תקועים, ו־X לא פרסמה דו"ח פומבי מפורט. [34]

האם X נפרצה?
אין ראיות פומביות לפריצה או דליפת מידע. X ודיווחים עצמאיים מייחסים את האירוע להעברת מפתחות אבטחה פנימית כושלת, לא להתקפה חיצונית. [35]

האם כדאי לכבות 2FA בחשבון X שלי?
רק כמוצא אחרון. כיבוי 2FA הופך את החשבון שלך להרבה יותר פגיע. אם חייבים להחליש את האבטחה כדי לשחזר גישה, הוסף אפליקציית מאמת או מפתח גיבוי והפעל מחדש 2FA חזק ברגע שמערכות X יתייצבו. [36]

נכון ל־13 בנובמבר, המשבר מתחיל להיפתר לאט, אך הנזק לאמון המשתמשים — ולמיתוג השנוי במחלוקת של X — עשוי להימשך הרבה מעבר לתקלה עצמה.

How to fix Xbox not signing in to your account (check service status in Xbox assist) 0X87DD0033
צפה בסרטון זה ביוטיוב.

References

1. www.creativebloq.com, 2. www.theverge.com, 3. www.theverge.com, 4. www.bleepingcomputer.com, 5. www.androidcentral.com, 6. www.reddit.com, 7. www.androidcentral.com, 8. www.techbuzz.ai, 9. www.newsbytesapp.com, 10. www.storyboard18.com, 11. www.techbuzz.ai, 12. techcrunch.com, 13. www.windowscentral.com, 14. www.reddit.com, 15. www.reddit.com, 16. www.newsbytesapp.com, 17. www.androidcentral.com, 18. www.theverge.com, 19. www.techbuzz.ai, 20. www.theregister.com, 21. www.theregister.com, 22. www.newsbytesapp.com, 23. www.bleepingcomputer.com, 24. www.androidcentral.com, 25. www.reddit.com, 26. www.bleepingcomputer.com, 27. www.creativebloq.com, 28. www.creativebloq.com, 29. www.techbuzz.ai, 30. www.bleepingcomputer.com, 31. www.techbuzz.ai, 32. www.newsbytesapp.com, 33. www.techbuzz.ai, 34. www.windowscentral.com, 35. www.theregister.com, 36. www.bleepingcomputer.com

Mateusz Brzeziński

Technology News

  • Cisco Q3 CY2025 Deep Dive: AI Networking Demand and Product Refresh Drive Momentum
    November 14, 2025, 9:08 AM EST. Cisco (CSCO) posted Q3 CY2025 results that topped estimates: revenue of $14.88 billion and non-GAAP EPS of $1.00, with guidance raised to a midpoint of $15.1 billion for the next quarter and full-year revenue around $60.6 billion. The company also delivered Adjusted EBITDA of $5.73 billion and a 22.6% operating margin, highlighting strong demand for AI infrastructure and campus networking. Management cited accelerated orders for refreshed products, including the Unified Edge platform and AI-native security, as key growth drivers. The pipeline remains robust in hyperscale and enterprise markets, with continued optimism on multi-year product refresh cycles and AI-enabled networking solutions.
  • Apple halves commissions for mini apps with 15% rate under new Mini Apps Partner Program
    November 14, 2025, 9:06 AM EST. Apple unveiled the Mini Apps Partner Program, offering a reduced 15% commission on in-app purchases for self-contained mini apps built with web tech and distributed inside a native app. The program requires mini apps to meet guidelines from App Store, use Apple's Advanced Commerce API and Declared Age Rating API, and route transactions through Apple's in-app purchase system, with Apple's receiving data for refunds. Apple says the move helps developers grow their mini app businesses within the App Store while keeping a consistent revenue model. The policy already exists since 2017, but this is the first time mini apps qualify for a lower rate. Partners like LINE, WeChat, and rival AI platforms have touted mini apps; Bloomberg noted Tencent's 15% in WeChat. Developers can apply by submitting information to join.
  • Rejecting generative AI in healthcare won't protect patients - it could harm them
    November 14, 2025, 9:04 AM EST. Dr. Robert Pearl argues that rejecting generative AI in healthcare won't protect patients and could worsen outcomes. The piece cites about 400,000 deaths yearly from misdiagnoses and 250,000 from preventable errors, then posits genAI can offer timely, reliable guidance, flag early warning signs, and support mental health when clinicians aren't available. Rather than choosing between clinicians or AI, a both/and approach could yield safer, higher-quality, and more accessible care. GenAI could help patients with chronic diseases between visits and reduce avoidable heart attacks, strokes, and kidney failures. With safeguards and oversight, embracing genAI may improve safety, while rejecting it risks entrenching today's problems.
  • Princeton unveils longer-lasting superconducting qubit, accelerating practical quantum computing
    November 14, 2025, 8:58 AM EST. Princeton researchers have built a superconducting qubit that lasts over 1 millisecond, about three times longer than today's best and roughly 15 times the industry standard. The fully functioning quantum chip confirms the qubit's performance, addressing a major barrier to error correction and scalability. The design uses a transmon qubit compatible with existing processors from Google and IBM, and the team says swapping Princeton's components into Google's Willow could make it 1,000 times more effective. The advance boosts the coherence time essential for complex operations and marks the largest single gain in a decade. As Andrew Houck notes, this could accelerate progress toward a practical quantum computer-perhaps by the end of the decade.
  • AI Agents Move Into Ticket Buying, Redefining How Fans Grab Seats
    November 14, 2025, 8:56 AM EST. AI-powered marketplaces are reshaping how fans buy tickets, with AI agents like Google's AI Mode and operators from OpenAI-partnered SeatGeek, StubHub, Ticketmaster and Vivid Seats aiming to surface official inventories and curb scalping. Advertisers spend heavily to appear in related results, but AI Overviews and chat assistants are pulling users away from traditional search. Analysts expect millions of Americans to rely on generative AI as the first stop for purchases by 2029. While some strategies are above-board-better reviews, official inventories, and bot rules-risks remain, including potential pricing tricks visible to bots and the challenge of distinguishing genuine listings from automated access. Companies stress the need for trusted, fan-sourced data and responsible bot use to curb scalpers.