شعار قسم ميدان

عدم تشفير كلمات المرور وأدوات للتجسس على المستخدم.. أخطاء تقنية ساذجة في شركات كبرى

ميدان - تشفير البيانات الشخصية

بنظرة سريعة على مُقابلات التوظيف، وتحديدا إلى تلك الاختبارات التي تُجريها الشركات التقنية الكُبرى(1)، فإنه عادة ما  يُتوقّع من المُهندسين المتقدمين لتلك الوظائف أن يكونوا خُبراء في مجالاتهم. وهو التوقع الذي ينعكس بالطبع على توقع آخر أكثر أهمية، وهو عدم الوقوع في أخطاء صغيرة ساذجة قد تكلف شركاتهم الكثير، على الصعيد المادي وعلى مستوى سمعة الشركة. إلا أن الواقع يبدو في الحقيقة أكثر قتامة، وأن تلك الأخطاء التي لا نتصور أن يقع بها مهندس تقني مُبتدئ، قد حدثت بالفعل داخل شركات كبرى، مثل غوغل وفيسبوك، فما هي تلك الأخطاء، ولماذا حدثت؟

 

تشفير كلمات المرور

في مارس/آذار 2019، أعلنت شبكة فيسبوك أنها قامت بتخزين بيانات أكثر من 600 مليون مُستخدم دون تشفير على خوادمها مع صلاحيات وصول لها من قِبل أكثر من ألفي مُهندس ومُطوّر ممن يعملون داخل الشركة(2). وفي أبريل/نيسان 2019، خرجت الشبكة الاجتماعية من جديد لتؤكّد أنها كرّرت الخطأ نفسه، لكن هذه المرّة على تطبيق "إنستغرام"(3). في مايو/أيار 2019، خرجت شركة غوغل لتؤكّد أن كلمات مرور حسابات مجموعة كبيرة جدا من مُستخدمي حزمتها الموجّهة للشركات، "جي سويت" (GSuite)، كانت مُخزّنة داخل الخوادم بدون تشفير دون وجود أي أدلّة على وصول غير مشروع لتلك البيانات(4).

  

  

لم تكن الأشهر الثلاثة الماضية مُجرّد غمامة سوداء أصابت تلك الشركات، فشبكة تويتر أيضا عانت من المشكلات نفسها، ومثلها مايكروسوفت، دون نسيان "غيت هاب" (Github)، وذلك في 2018، لتمثل هذه المشكلات نمطا مُتكرّرا يُصيب الشركات التقنية الكُبرى، والصُغرى أيضا، إلا أن فهم ما يحدث حقيقة خلف الكواليس يضع مُهندسي فيسبوك أو غوغل، آبل أو مايكروسوفت في ورطة كبيرة جدا(5)(6).

  

من حيث آلية العمل، تتشابه أنظمة تسجيل الحسابات عند مُعظم الشركات، فالمُستخدم يقوم بتعبئة بعض البيانات مثل الاسم، والبريد الإلكتروني، وكلمة المرور، لتُرسل فيما بعد إلى الخوادم للتأكّد من صحّتها؛ البريد الإلكتروني يجب أن يكون بتنسيق مُحدّد، وكلمة المرور يجب أن تكون بعدد حروف مُعيّن مع احتوائها على أحرف كبيرة وصغيرة بالإضافة إلى أرقام ورموز. وبعد الانتهاء من التحقّق، سيقوم النظام بتمرير كلمة المرور إلى خوارزمية تقوم بتشفيرها، وهذا قبل تخزينها في قواعد البيانات؛ لو كانت البيانات من الشكل: "اسم المُستخدم: تجربة" و"كلمة المرور:123456″، ستصل إلى قاعدة البيانات على الشكل "اسم المُستخدم: تجربة" و"كلمة المرور:e10adc3949ba59abbe56e057f20f883e".

    

كلمة المرور السابقة تحوّلت من 123456 إلى مجموعة من الحروف والأرقام بسبب خوارزمية التشفير، وهذا ما سيتم تخزينه في قاعدة البيانات. ما سبق يعني أن أي أحد لديه صلاحية مُباشرة على قاعدة البيانات لن يكون قادرا على معرفة كلمة المرور، لأنها مُشفّرة، ولا يُمكن فك تشفيرها. وفي كل مرة يقوم المُستخدم بتسجيل الدخول، سيقوم النظام بأخذ كلمة المرور وتشفيرها أولا ومن ثم التأكّد من تطابقها مع البيانات المُخزّنة سابقا في قواعد البيانات. في أبجديّة البرمجة يعلم جميع المُبرمجين أن تشفير كلمات المرور يعد أمرا ضروريا لا اختياريا، فما الذي يدفع مُهندسي شركات كُبرى إلى تركها مُخزّنة في بعض الأماكن بدون تشفير؟

   undefined

     

صلاحيات مُطلقة

بعد الحصول على إذن رسمي من المحكمة، يُمكن لأي جهة أمنية -في الدول التي تحترم سيادة القانون- التوجّه إلى مكتب أي شركة تقنية لطلب بيانات بعض المُستخدمين، أو للتأكّد من صحّة بعض الحوادث والادعاءات. ما سبق يعني أن الشركات بشكل أو بآخر تحتفظ بسجل لبعض العمليات التي يقوم المُستخدم بها، مثل الأشخاص الذين يتواصل معهم في تطبيقات مثل فيسبوك مسنجر أو "سناب شات"، أو بعمليات الدفع التي قام بها في تطبيقات مثل أمازون أو "أوبر".

   

وإلى جانب الاحتفاظ بالبيانات، مُشفّرة أو غير مُشفّرة، توفّر تلك الشركات أدوات تُتيح الوصول لتلك البيانات، وتلك أدوات رفضت آبل تطويرها لأنها رفضت تعريض خصوصية المُستخدمين للخطر، خصوصا بعدما تسرّبت مجموعة من الأدوات التي كانت وكالة الأمن القومي الأميركي (NSA) تستخدمها للتجسّس على المُستخدمين دون علمهم، الأمر الذي نتج عنه حملات اختراق واسعة لا حصر لها(7). لكن، وبعيدا عن حالات الاختراق الخارجية، يُمارس موظّفو بعض الشركات التقنية تجاوزات بحق الخصوصية باستخدام تلك الأدوات نفسها التي يُفترض أنها وُضعت لإنصاف المُستخدمين، وهذا على نطاق واسع أيضا وفي مجموعة كبيرة من الشركات التقنية دون استثناء.

   

   

في عام 2014، تلقى العالَم التقني صدمة بعدما كشفت إحدى العاملات في شركة "أوبر" عن وجود أداة تُتيح مُراقبة نشاط مُستخدمي التطبيق لمعرفة الرحلات التي قاموا بها بالتاريخ والوقت أيضا، مع معرفة اسم السائق وبعض التفاصيل الأُخرى. المُشكلة لم تكن بوجود مثل هذه الأداة، فكما أسلفنا الذكر، تحتاج الشركات التقنية في بعض الأوقات إلى الامتثال لبعض الأوامر القانونية، إلا أن وصول العاملين داخل تلك الشركة لمثل تلك الأدوات يعد أمرا خطيرا جدا.

   

بحسب أحد العاملين في "أوبر"، فإن استخدام تلك الأداة كان مُمكنا من قِبل مجموعة واسعة من العاملين في الشركة، الأمر الذي أدخل "أوبر" في سجالات قانونية انتهت بدفعها غرامة 20 ألف دولار أميركي فقط مع تقييد حريّة استخدام مثل تلك الأدوات داخل الشركة(8). لم تتعظ بقيّة الشركات التقنية من مثل تلك الأخبار، والدليل، أنه في عام 2019 خرجت أخبار تؤكّد وجود أداة باسم "سناب لايون" (SnapLion) داخل شركة "سناب"، موجودة بالأساس لمُساعدة الجهات الحكومية، إلا أنها تُركت بدون رقابة لفترة طويلة من الزمن(9).

    undefined

  

خطورة "سناب لايون" تكمن في قدرة موظّفي الشركة على قراءة بيانات مهمّة جدا مثل الموقع الجغرافي، البريد الإلكتروني، سجل الرسائل، دون نسيان الرسائل ذاتها، والتي تكون على هيئة صور ومقاطع فيديو تختفي بعد 24 ساعة من نشرها، وهذا يعني انتهاكا للخصوصية ما بعده انتهاك. موظّفون سابقون، وحاليون، في الشركة تحدّثوا دون الكشف عن هويتهم وأكّدوا فعلا وجود استغلال لتلك الأداة من قِبل العاملين داخل الشركة خلال السنوات الماضية، دون تسمية أحد بعينه، الأمر الذي دفع "سناب" للرد بشكل رسمي مؤكّدة أنها تأخذ خصوصية المُستخدمين على محمل الجد وأن مثل تلك الأدوات موجودة لحماية المُستخدم، وليس لتعرية خصوصيّته، مؤكّدة أن صلاحيات الوصول لتلك الأداة محدودة جدا، عكس ما ذُكر في تصريحات بعض العاملين(10).

   

أما بالنسبة للسؤال الذي طرحه الجميع حول السبب الذي يدفع المُبرمجين إلى تخزين بعض كلمات المرور بدون تشفير، هو ذاته السؤال الذي سيُطرح حول السبب الذي يدفع المسؤولين في الشركات الكُبرى إلى ترك أدوات بتلك الخطورة دون رقابة، فماذا لو تسرّبت تلك الأدوات على شبكة الإنترنت، ما مصير ملايين الرسائل التي تحتوي على صور وفيديو؟ أو حتى لو بقيت الانتهاكات داخل الشركة، هل هناك ما يمنع العاملين فيها من ابتزاز البعض؟

   

  

يبدو إذا مما سبق، أن مُعاملة الشركات التقنية على أنها بريئة حتى تثبت إدانتها أمر خاطئ جدا، وفيسبوك خير مثال على ذلك، ومن الأفضل كما يقترح كثير من المتخصصين أن تُعامل الشركات التقنية بالصرامة نفسها التي تُعامل بها المُنشآت الصحيّة أو الغذائية عندما ترغب في الحصول على تراخيص العمل، فأي شركة تقنية يجب أن توفّر شفافية كاملة لهيئات رقابية تضمن الالتزام بالقوانين، وإلا فإن تقنيات التشفير لن تكون لها أي قيمة في ظل وجود انتهاكات تأتي من داخل الشركة نفسها.

المصدر : الجزيرة