تسريب بيانات 400 مليون مُستخدم.. لماذا يدعونا فيسبوك لعدم القلق؟
"نحن نؤمن أن الخصوصيّة حق أساسي للإنسان"(1) هذا ما قالته آبل في اتفاقية الخصوصيّة الخاصّة بها، لكنها على الرغم من ذلك سمحت لموظّفيها بالاستماع لأوامر المُستخدمين الصوتيّة دون علمهم(2). أما غوغل، فهي تأخذ خصوصيّة بيانات المُستخدمين بجديّة تامّة(3)، لكن هذا لم يمنعها هي الأُخرى من تتبّع نشاط المُستخدمين على شبكة الإنترنت للانتفاع منهم ماديًّا عبر بيع الإعلانات. هذا يُفسّر بشكل أو بآخر رد فيسبوك الهادئ جدا بعد تسريب بيانات وأرقام هواتف أكثر من 400 مليون مُستخدم مُكتفية بجُملة واحدة: "لا داعي للقلق"!
عثر أحد الباحثين الأمنيين على خادم غير محميّ بكلمة مرور فيه قاعدة بيانات ضخمة تحتوي على بيانات أكثر من 419 مليون مُستخدم، وبعد التدقيق فيها تبيّن أنها تعود لمُستخدمي شبكة فيسبوك الاجتماعية. ليست هذه المرّة الأولى التي تقوم بها جهة ما بتخزين بيانات مُستخدمي فيسبوك دون علمهم على خوادم خارجية، ولا حتى المرّة الأولى التي يُترك فيها خادم دون حماية على الرغم من قيمة البيانات الموجودة بداخله، إلا أنها المرّة الأولى تقريبا التي تحتوي البيانات على أرقام هواتف المُستخدمين كما هي دون تشفير(4).
بحسب الباحث الأمني، الذي حاول العثور على صاحب الخادم لكن بدون جدوى، فإن كل سجل من السجلّات المُخزّنة يحتوي على مُعرّف حساب مُستخدم فيسبوك، بالإضافة إلى رقم هاتفه، والدولة، والجنس، دون نسيان الاسم في بعض السجلّات. وبالأرقام، فإن 133 مليون سجل هي لمُستخدمي فيسبوك من الولايات المتحدة الأميركية، و18 مليونا من المملكة المُتحدة، وأخيرا 50 مليون مُستخدم من فيتنام، أي إن الضرر محصور -تقريبا- في مُستخدمي الشبكة الاجتماعية من تلك الدول.
|
لإحقاق الحق، فإن فيسبوك لا ذنب لها فيما حصل، فهي توفّر واجهات برمجية تُتيح لأي جهة، بعد موافقة المُستخدم طبعا، بالحصول على مجموعة من بياناته. كما قامت قبل عام تقريبا بإزالة إمكانية الوصول لرقم هاتف المُستخدم، وهذا يعني أن قاعدة البيانات التي عُثر عليها مؤخّرا تعود لعملية قديمة العهد، دون معرفة الجهة التي تقف صراحة خلف تلك البيانات.
مُتحدّث باسم فيسبوك قال إن البيانات الموجودة في الخادم مُكرّرة، أي إن الرقم المُتداول، 419 مليون سجل، لا يتجاوز حقيقة أكثر من 200 مليون سجل فقط. وعلاوة على ما سبق، أكّدت الشركة أن السجلّات حُذفت من الخادم بشكل فوري، وأن مثل هذه الحوادث لن تتكرّر مُستقبلا لأن فيسبوك غيّرت من اتفاقيات الاستخدام ومنعت الوصول لأرقام هواتف المُستخدمين(5).
هل يُمكن تصديق فيسبوك وتصريحاتها؟ بكل تأكيد لا. لماذا؟ لأن سوابقها كثيرة، ولأنها كل مرّة تؤكّد فيها أن الأمور تحت سيطرتها تأتي الحقيقة عكس ذلك، لا سيّما أن باحثا أمنيا آخر أكّد أن تلك البيانات تم نشرها على الخادم مع نهاية شهر أغسطس/آب 2019، وليست قديمة العهد كما يُدّعى.
|
لن تتعدّى أضرار هذا التسريب الأمني الجديد مُحيط الدول الثلاث التي ينتمي المُستخدمون لها. لكن الحديث عن تأثيرها طال بسبب وجود أرقام الهواتف التي تعود ملكيّتها لبعض المشاهير بحسب أكثر من مصدر(4). وأي تسريب من هذا النوع من شأنه فتح باب كبير من الاحتمالات الأمنية التي تتجاوز فقط حساب المُستخدم في فيسبوك.
عند الحصول على المُعرّف الخاص بحساب المُستخدم، وهو عبارة عن مُعرّف عشوائي فريد مؤلّف من أرقام وحروف لا يُمكن أن يتكرّر، يُمكن معرفة صاحب الحساب الأصلي حتى دون وجود اسمه. ومع امتلاك رقم الهاتف، يُمكن إدخال اسم المُستخدم في حقل "نسيت كلمة المرور" ومن ثم اختيار الحصول عليها على الهاتف. ولأن المُخترق يمتلك الرقم بالأصل، سيقوم بإدخاله وسيكون قادرا على تجاوز أول طبقة من طبقات الحماية.
الخطوة السابقة لا يُمكن أن تكتمل بدون صلاحيات على الهاتف نفسه، فرمز تأكيد عملية استعادة كلمة المرور سيصل للهاتف أولا وأخيرا، وعدم امتلاك الرقم نفسه يعني أن جهود المُخترق ستذهب هباء منثورا إلا في حالة واحدة فقط، حالة أن يقوم بخداع شركة الاتصالات للحصول على شريحة ثانية للرقم نفسه، وهو الأمر الذي حصل مع "جاك دورسي" (Jack Dorsey) مؤسّس شبكة تويتر، الأمر الذي سمح لمُخترقين بنشر تغريدات على حسابه الشخصي دون امتلاك كلمة مرور حسابه بالأصل، وهذا عبر رقم الهاتف فقط(6).
|
وبعيدا عن سرقة حساب فيسبوك، يُمكن بيع تلك البيانات للمُعلنين لاستهداف الشخص بعد التعرّف عليه عن قُرب بتتبّع نشاطه على شبكة الإنترنت. كما أن عمليات النصب ستُصبح أسهل، فأي شخص بإمكانه الاتصال الآن ومُخاطبة الشخص باسمه ليظن أن المُتّصل فعلا من جهة موثوقة، وليكن بنكا على سبيل المثال لا الحصر، وهذا قد يوقع المُستخدم ضحيّة عمليات خداع سبق وأن أثبتت جدارتها خلال السنوات الماضية.
عقّدت سوابق فيسبوك موقفها في أي قضيّة تسريب تطولها على الرغم من أنها ليست المُذنب الأول والأخير في مُعظمها، فمنذ فضيحة "كامبريدج أناليتيكا" (Cambridge Analytica) والأمور من سيّئ لأسوأ في الشبكة الاجتماعية.
قبل عام تقريبا، وتحديدا في سبتمبر/أيلول 2018، أكّدت فيسبوك عثورها على ثغرة أمنية أصابت أكثر من 50 مليون مُستخدم بما في ذلك "مارك زوكربيرغ" نفسه(7)، وهي ثغرة في ميزة "مُشاهدة الحساب" (View As) التي تُتيح لأي مُستخدم معرفة شكل حسابه عندما يزوره أحد أصدقائه، أو أحد الزوّار للتأكّد من عدم وجود بيانات خاصّة مُتاحة للجميع. تلك الثغرة فتحت الباب أمام المُخترقين لجمع بعض البيانات الشخصيّة عن المُستخدمين دون علمهم، إلا أن "زوكربيرغ" أكّد بنفسه أن المُخترقين لم يصلوا لما هو خطير مثل بيانات الدفع.
ولم تكن نهاية 2018 سعيدة أيضا، فتقارير صحفية خرجت لتؤكّد أن فيسبوك منحت بعض الشركات الكبيرة، وعددها 150 شركة تقريبا مثل "نتفليكس" (Netflix) و"سبوتيفاي" (Spotify)، صلاحيات للوصول لمجموعة كبيرة من بيانات المُستخدمين دون علمهم بما في ذلك الرسائل الخاصّة بهم في تطبيق ماسنجر، وشركات على شاكلة مايكروسوفت وأمازون كانت قادرة على الوصول إلى قائمة الأصدقاء الخاصّة بالمُستخدمين، بالإضافة إلى البريد الإلكتروني الخاص بأي مُستخدم(8).
بعد هذا السجل الأسود خلال السنوات الأخيرة لم يعد الاستهجان والاستغراب يفيان بالغرض، ولا حتى القوانين الصارمة التي تفرض غرامات كوميدية على الشبكة الاجتماعية، فالاستمرار في استخدام فيسبوك هو الوقود الوحيد الذي يُنقّب عنه مُهندسو الشبكة الذين سيكرّرون أسفهم مع كل عملية اختراق، ليعودوا فيما بعد لطمأنة المُستخدمين أن كل شيء على ما يُرام، وأنه لا داعي للقلق أبدا!
وتجدر الإشارة في النهاية إلى أن فيسبوك ليست الوحيدة، فكل شركة تقنية، بدءا من آبل التي ترفع راية الخصوصيّة أولا وصولا إلى غوغل التي تتحكّم وتراقب كل شيء في شبكة الإنترنت، هي شريك في اختراق خصوصيّة المُستخدمين، لتكون التقنية بذلك الأداة الأنسب للتحكّم بالبشر وتوجيههم دون أي مقاومة تُذكر، فلا شيء يُفسّر ازدياد عدد مُستخدمي فيسبوك سنويا، أو المُشاهدات العالية على أسوأ مقاطع الفيديو على يوتيوب، سوى أن تلك الخوارزميات تعلم تماما ما يحتاج إليه المُستخدم الذي ما زال يرفع باستغراب شعار "مَن الذي جعل من الحمقى مشاهير؟".