شعار قسم ميدان

هذه تفاصيل اختراق ملايين الحسابات الشخصية على فيسبوك

midan - facebook

دافع ”دافيد ماركوس“ (David Marcus)، المسؤول عن تطبيق مسنجر وعن تقنيات ”بلوك تشين“ (BlockChain) في فيسبوك، عن الرئيس التنفيذي للشبكة الاجتماعية -”مارك زوكربيرغ“- بعد الهجوم عليه من قبل أحد مؤسّسي تطبيق ”واتس آب“(1)، حيث أكّد ”ماركوس“ أن الهدف من بناء الشبكة الاجتماعية ليس جمع المال أبدًا، بل تقديم مُنتج يستفيد منه الجميع. ساعات قليلة بعد تلك التصريحات كانت كفيلة بفضح فيسبوك مرّة أُخرى بعدما اكُتشف بيعها لأرقام هواتف المُستخدمين من جهة، وبعد اختراق أكثر من 50 مليون حساب من جهة أُخرى.

    

طرد 90 مليون مُستخدم من الشبكة

تفاجئ مجموعة كبيرة من مُستخدمي فيسبوك من تسجيل خروجهم بشكل آلي من الشبكة، – وهو شيء قد يحدث في أي وقت لأسباب مُختلفة منها حذف الملفّات المؤقّتة من الحاسب أو الهاتف الذكي- فعند زيارة الموقع أو تشغيل التطبيق، طُلب منهم تسجيل الدخول من جديد دون معرفة السبب وراء ذلك. وبطيب نيّة، أدخل المُستخدمون بيانات تسجيل الدخول للعودة من جديد وكأن شيء لم يكن، لتبدأ أخبار الاختراقات بالظهور، الأمر الذي طرح مزيدًا من علامات الاستفهام(2).

   

كُبرى وسائل الإعلام المحليّة والعالمية عنونت أخبارها باختراق أكثر من 50 مليون حساب في فيسبوك، لتبدأ حالة من الهلع قبل أن تخرج فيسبوك بذاتها وتؤكّد الأمر لكن بواقعية أكبر، فما حدث هو اختراق أمني للشبكة ذاتها وليس لحسابات المُستخدمين، على الأقل في الوقت الراهن بانتظار نتائج التحقيقات النهائية(3).

     

   

وباختصار، فإن مجموعة من المُخترفين تمكّنوا من استغلال خاصيّة مُشاهدة الصفحة الشخصية (View As) التي تُتيح للمستخدم رؤية كيف ستبدو صفحته عند مُشاهدتها من قبل مُستخدم ما، أو كيف ستظهر للعموم، وهي ميّزة قديمة جدًا، إلا أن التغييرات التي قامت بها فيسبوك في (يوليو/تموز) 2017 لخاصيّة تحميل مقاطع الفيديو فتحت ثغرة أمنية يُمكن استغلالها بالشكل الآتي:

 

  1. يقوم المُخترق باستخدام خاصيّة مُشاهدة الحساب على هيئة مُستخدم آخر، وهو أمر مسموح للجميع.
  2. بعدها، يتم التوجّه لصندوق إنشاء مُعايدة لصاحب الحساب بسبب عيد مولده، وهو صندوق يوفّر إمكانية رفع المُعايدة على هيئة مقطع فيديو.
  3. لو فرضنا أن المُخترق هو المُستخدم أ، وأنه يتصفّح حسابه على هيئة المُستخدم ب، فإن أداة رفع الفيديو من المفترض أن تقوم بإنشاء مفتاح سرّي (Token) خاص بالمُستخدم أ كونه هو صاحب الحساب الأصلي. لكن وبسبب الثغرة، قامت الأداة بإنشاء مفتاح سرّي خاص بالمُستخدم ب.
  4. يقوم المُخترق، المُستخدم أ، بأخذ المفتاح السرّي لاستخدامه على تطبيق الهاتف الذكي. وعند فتح التطبيق، تقوم الشبكة بفتح حساب المُستخدم ب عوضًا عن المُستخدم أ لأن المفتاح السرّي يُشير إلى ذلك.

  

وتجدر الإشارة هنا إلى أن المفتاح السرّي يُخزّن على جهاز المُستخدم لتجنّب طلب كلمة المرور طوال الوقت، ولهذا السبب لاحظ أكثر من 90 مليون مُستخدم تسجيل خروجهم بشكل آلي من حساباتهم لأن فيسبوك قامت بإبطال مفعول تلك المفاتيح السرّية بحيث لم تعد موجودة داخل قواعد بياناتها. بحسب أرقام فيسبوك، فإن 50 مليون حساب تعرّضوا لذلك الاختراق، أي الوصول لمفاتيحهم السرّية. إلا أنها وكإجراء وقائي قامت بإبطال مفعول أكثر من 90 مليون حساب لأن أصحاب تلك الحسابات قاموا باستخدام خاصيّة مُشاهدة الحساب على هيئة مُستخدم آخر منذ (يوليو/تموز) 2017(4).

      

     

وفي النهاية، لم يصل المُخترقون إلى كلمات المرور الخاصّة بالمُستخدم، لكن فقط إلى حسابه، وعملية تسجيل خروج الإجباري التي قامت بها الشبكة كافية للحماية خصوصًا بعدما قامت بتعطيل خاصيّة مُشاهدة الحساب بشكل مؤقّت. أما ولرفع مستوى الأمان، فيُمكن للمُستخدم تغيير كلمة مروره وتفعيل خاصيّة التحقّق بخطوتين (2-Step Verification) التي تستغّلها فيسبوك أيضًا لأغراض أُخرى تجمع منها مزيدًا من الأموال!

   

جنت على نفسها براقش

ما حدث مع فيسبوك أمر عادي وطبيعي جدًا. كما تُحترم ردّة فعلها أيضًا، فهي لم تُخفي أي شيء وشاركت ما حدث مع الجميع، فالثغرات الأمنية جزء من أي مُنتج حتى لو كان بحجم فيسبوك التي تستوعب أكثر من 2 مليار مُستخدم حول العالم. لكن مُمارسات الشبكة وإصرارها على التلاعب بالكلام يجعل تلك الثغرات الأمنية تبدو كالكوارث، والشامتين أكثر من المُتعاطفين جراء ذلك.

  

وبالنسبة لمُستخدمي فيسبوك، أصبح من البديهي جدًا معرفة مصير بياناتهم، فهم على دراية كاملة بإن الشبكة توفّرها للمُعلنين لاستهداف شرائح مُحدّدة. وهو أمر تؤكّد الشبكة أن المُستخدم يمتلك تحكّمًا كاملًا به، فهو قادر على ضبط خصوصية البيانات في أي وقت. لكن ما اكتشفه الباحثون الأمنييون مؤخّرًا يفضح وجهًا جديدًا لفيسبوك، ويفضح كذلك جشعها وعدم اكتراثها بخصوصية المُستخدمين(5).

  

لرفع مستوى حماية الحساب، يُمكن للمُستخدمين تفعيل خاصيّة التحقّق بخطوتين التي تطلب من المُستخدم إدخال رقم هاتفه لاستلام رسالة نصيّة تحتوي على رمز سرّي. كما يُمكن استخدام رقم الهاتف للتبليغ الفوري عن وجود حالات تسجيل دخول من مواقع جغرافية غير معروفة. أي أن المُستخدم يقوم بإدخال رقم هاتفه فقط لأغراض الحماية الأمنية، وليس كمعلومة شخصية. إلا أن تجربة قام بها الباحث الأمني ”آلان ميسلوف“ (Alan Mislove)، تؤكّد أن حتى هذه المعلومات لا تسلم(6).

      

    

قام المُشاركون في التجربة بإدخال أرقام هواتفهم لتفعيل خاصيّة التحقّق بخطوتين فقط، أي لغرض الحماية. كما قام المُشرف على التجربة بإنشاء حملة إعلانية استهدفت المُستخدمين عبر أرقام هواتفهم، وهذا أمر تسمح به فيسبوك، إذ يحتاج المُعلن إلى رفع قائمة بأرقام الهواتف لتظهر الإعلانات للحسابات التي تستخدم تلك الأرقام. المُفاجئة كانت بأن الإعلانات ظهرت للمُشاركين في التجربة على الرغم من أن بياناتهم الشخصية لا تحتوي على رقم هاتفهم الذي أُدخل فقط داخل خاصيّة التحقّق بخطوتين، والذي أكّدت فيسبوك في وقت سابق أنه يبقى سرّي ولا يتم اعتباره كمعلومة شخصية، أي أنه لا يصل للمُعلنين. لكنه بشكل أو بآخر وصل وتم الاستفادة منه(7).

  

ولا تنتهي مأساة فيسبوك هنا، فالشبكة لا تكترث أبدًا بخصوصية بيانات المُستخدم وتقوم بربط كل شيء وبتخزينه داخل قاعدة البيانات للاستفادة منه في الشبكة الإعلانية التي تدر المليارات في كل ربع مالي، وهو ما سمح بهجمات استهداف الظل (Shadow Targeting) التي تحدث عندما يقوم المُستخدم أ بمُشاركة قائمة الأسماء الموجودة في هاتفه للعثور على أصدقاء جُدد، والتي تتوفّر فيما بعد للمُعلنين أيضًا. المُستخدم ب يقوم مثلًا بتفعيل خاصيّة التحقّق بخطوتين عبر رقم هاتفه، أو يقوم بإدخاله كمعلومة شخصيّة مع التشديد على أنه خاص لا يظهر لأحد. المُفاجئة كانت عندما نجح المُعلن في استهداف المُستخدم ب على الرغم من أنه أكّد أن بياناته يجب أن تبقى سرّية، إلا أن خوارزميات فيسبوك لا تعمل بهذا الشكل، وستقوم بحصد أي معلومة أيًا كانت خيارات الخصوصية(6).

     

كوارث فيسبوك السابقة كادت أن تزداد سوءًا لولا سيطرتها على أحد المُخترقين التايوانيين الذي نشر قبل تلك الأحداث بفترة قليلة مُشاركة يقول فيها أنه سيخترق حساب ”زوكربيرغ“ ببثّ حي ومُباشر، إلا أن الشبكة تواصلت معه مُباشرةً وطلبت منه مشاركة تفاصيل الثغرة الأمنية التي تسمح له بذلك لقاء الحصول على مبلغ مادّي، الأمر الذي جنّبها فضيحة ثالثة خلال أسبوع واحد كانت كفيلة بتحطيم ما تبقّى من كرامتها(8).