اختراق "فيسبوك": لهذا عليك أن تقلق
الفضيحة الثانية منذ كامبريدج أناليتكا (أليكس وونغ/Getty)
أعلنت شركة "فيسبوك" يوم الجمعة الماضي عن خرق أمني سمح للقراصنة بالوصول إلى المعلومات الشخصية لنحو 50 مليون مستخدم، في فضيحة هي الثانية من نوعها منذ "كامبريدج أناليتكا". إذ تمكّن القراصنة الإلكترونيون من الوصول إلى المعلومات الشخصية من تطبيقات ورموز خدمات طرف ثالث (tokens) التي تسمح بالاشتراك فيها باستخدام تسجيل الدخول على "فيسبوك"، مثل "تيندر" و"ييلب" و"سبوتيفاي" و"إير بي إن بي" و"إنستغرام".
والثغرة التي استغلّها المخترقون كانت موجودةً منذ يوليو/تموز 2017، واكتشفها مهندسو فيسبوك الشهر الماضي، عندما وجدوا دخولاً مشبوهاً إلى الموقع.
ولا يزال مدى تأثير الاختراق غير معلوم حتى الآن، بالرغم من أنّ شركة "فيسبوك" قالت إنه ليس هناك أي أدلّة على الدخول إلى التطبيقات الأخرى من خلال رموز التوكينز. لكنّ خبراء مستقلّين قالوا إنّ الأذى جرّاء هذا الخرق يطاول أبعد بكثير من حدود "فيسبوك" نفسه.
وقال البروفيسور المساعد في علوم الكمبيوتر في جامعة إيلينوي في شيكاغو إنّ الخرق يؤثّر أبعد بكثير من "فيسبوك"، بل إنّه قد يُعدّ مدخلاً لآلاف تطبيقات الطرف الثالث والمواقع الإلكترونيّة، بحسب ما نقلت عنه صحيفة "ذا غارديان" البريطانيّة، اليوم الأربعاء.
إنّ الرمز المميز (token) هو عبارة عن سلسلة فريدة من الأحرف والأرقام التي يمكن استخدامها لتسجيل دخولك تلقائيًا إلى تطبيقات ومواقع ويب أخرى، بحيث لا تضطر إلى الاستمرار في إدخال كلمة المرور الخاصة بك.
لسوء الحظ، من وجهة نظر أمنية، فإنّ استخدام "فيسبوك" أو أي تطبيق آخر للتواصل الاجتماعي لتسجيل الدخول إلى خدمات أخرى ليس أمراً ذكياً، بحسب ما قالت دانا سيمبيركوف، رئيسة قسم المخاطر والخصوصية وأمن المعلومات في شركة Avepoint الأمنية للشركات.
وأضافت "إنه أمر سهل ومريح، ولكن عندما تستخدم اختصارات يمكن أن تكون هناك عواقب. يجب ألا تستخدم تطبيقًا واحدًا لتسجيل الدخول إلى آخر، لأنه عندما يتم اختراق أحد هذه الأنظمة، يمكن أن يُخترق كل شيء آخر تتفاعل معه أيضًا".
وهذا تقريباً ما حصل. بسبب ثغرات في برمجيّة "فيسبوك" المسمّاة (View As) (والتي تُمكّن المستخدمين من معرفة كيف تبدو صفحتهم لمستخدمين آخرين)، وفي خاصيّة نشر مقاطع الفيديو، اخترق القراصنة هذه الرموز وجمعوها لاحقاً من صفحة HTML code.
عندما يكتشف المخترق أنّه قادرٌ على سرقة الرمز الخاص بشخص واحد، يكون أمرا سهلا أن يسرق تلقائياً ملايين الحسابات بالإضافة إلى حسابات الطرف الثالث كـ"سبوتيفاي" و"بينتريست" والتي تستخدم هذه الرموز.
في ردّ فعله، قام موقع "فيسبوك" بتعطيل الميزات التي تضمّنت ثغرات، وبدّل الرموز لتسعين مليون مستخدم، وأخرجهم من التطبيق. عندما يدخل المستخدم مرّة أخرى إلى حسابه، يتمّ إنشاء رمزٍ مميّز جديد. وفي حين أن هذا الإجراء قد يمنع المهاجمين في المستقبل من سرقة بيانات اعتماد تسجيل الدخول الخاصة بالمستخدمين، إلا أنّه قد لا يكون فاعلاً كثيراً للتخفيف من أي اختراقات حدثت بالفعل.
وإذا قام المخترقون باستخدام بياناتكم على "فيسبوك" للدخول إلى أحد تطبيقاتكم، قد يكونون لا يزالون داخلها، الأمر الذي يعتمد في الأساس على مدى الأمان في التطبيق نفسه، بحسب ما قال بولاكيس. أي أنه إذا استخدم القراصنة الرموز المميّزة للدخول إلى تطبيقات الطرف الثالث قبل تعطيلها، ستكون الأمور أكثر تعقيداً. ففي كثير من المواقع، يستطيع المخترقون تبديل البريد المتعلّق بالحساب وتحديد كلمة سرّ جديدة من دون معرفة كلمة سرّ الحساب الأصليّة. وبالتالي، حتى إن لم يستطع المخترق الدخول إلى حسابكم على "فيسبوك" بعد تسجيل الخروج منه، قد يكون لديهم قدرة على الوصول إلى حساباتكم الأخرى.
وأصدر "فيسبوك" ليل أمس الثلاثاء، بياناً أعلن فيه أنه لم يعثر على أي دليل على أن المهاجمين دخلوا إلى أي تطبيقات باستخدام تسجيل الدخول إلى "فيسبوك"، وأن التطبيقات التي تم إنشاؤها باستخدام مجموعة تطوير البرامج الرسمية للشركة (SDK) كان يجب أن تكون محمية عند إعادة تعيين رموز جديدة للمستخدم. ومع ذلك، قد تظل تطبيقات "فيسبوك" التي تم إنشاؤها بدون SDK عرضة للخطر.
ما الذي يمكن فعله؟ قد لا يُساعد تغيير كلمة السرّ بشكلٍ أساسي في حماية الحسابات، لكنّه أمر منطقيّ ويجب فعله. ويُمكن أيضاً تعطيل الدخول إلى التطبيقات الأخرى عبر حساب "فيسبوك"، وبالتالي منع أي محاولات اختراق أخرى في المستقبل.
