شرکت فیس بوک در روز جمعه یک نقض امنیتی را در رسانه خود اعلام کرده است که گفته می شود اطلاعات چیزی در حدود 50 میلیون نفر در این شبکه اجتماعی را در معرض خطر قرار داده است.
آسیب پذیری ناشی از قابلیت “مشاهده به عنوان یا view as” فیس بوک است که به افراد اجازه می دهد تا ببینند که پروفایل هایشان نسبت به حریم خصوصی چگونه می تواند برای بقیه افراد به نظر آید.
مهاجمان کد و یا شناسه مربوط به این ویژگی، که اصطلاحا به آن توکن (token) نیز می گویند، را از این طریق به دست آورده اند و مورد سوءاستفاده قرار داده اند، که به آنها اجازه می دهد تا بتوانند برای انتقال حساب های کاربران از آن ها استفاده کنند.
در حالی که این شناسه ها و یا نشانه های دسترسی رمز ورود شما نیستند، اما آنها به هکر ها این اجازه را می دهند تا بدون نیاز به اطلاعات رمز ورود کاربران به سیستم و حساب کاربری شما وارد شوند.
این شرکت گفت که به عنوان یک اقدام احتیاطی، فیس بوک حدود 90 میلیون نفر را از حساب های خود خارج و یا دسترسی آن ها را logged کرده است.
شبکه اجتماعی گفت که این حمله را در اواخر هفته گذشته کشف کرده است.
این شرکت به FBI و کمیسیون حفاظت از داده های ایرلند اطلاع داده است.
همچنین فیس بوک گفت تحقیقات در مراحل اولیه است و هنوز نمی داند که چه کسی در پشت این حملات بوده است.
مدیر عامل شرکت، Mark Zuckerberg در یک کنفرانس تلفنی با خبرنگاران در روز جمعه گفت: “این یک مسئله امنیتی بسیار جدی است”.”تحقیقات ما نشان می دهد که این حملات مداوم از سوی افرادی است که سعی دارند حساب های کاربران را هک کنند و اطلاعات مربوط به جامعه ما را سرقت کنند، متاسفانه این یک تلاش مستمر است”.
از سمتی نیز گفته میشد که مارک زاکربرگ، رفع مشکلات فیس بوک را تا سال ۲۰۱۹ می دیدده است.
این خبر در حالی منتشر شده است که فیس بوک تحت کنترل و نظارت شدیدی برای توانایی خود در حفظ اطلاعات بیش از 2 میلیارد کاربر خود است. همانگونه که قبل تر گفته می شد که فیسبوک می گوید عملیات حذف اخبار کذب را آغاز کرده است.
این شرکت همچنان از رسوایی کمبریج آنالیتیکا در ماه مارس رنج می برد، که در آن یک مشاور دیجیتال مبتنی بر انگلستان اطلاعات شخصی از 87 میلیون کاربر فیس بوک را برداشت. شما می توانید در مورد مبلغ جریمه فیسبوک برای رسوایی موسسه آماری کمبریج در این قسمت مطالعه داشته باشید.
معاون مدیر فروش محصول فیس بوک در یک تماس گفت: “این آسیب پذیری که در روز جمعه منتشر شده است، از تغییری که در ماه جولای 2017 صادر شده است، زمانی که فیس بوک یک ویژگی را اضافه کرد که افراد را وادار می کرد تا ویدیوهای “تولد مبارک” را بارگذاری کنند، شکل گرفته است”.
این شرکت همچنان به بررسی حمله می پردازد و نمی داند چه مقدار اطلاعات دزدیده شده است یا چه کسی پشت این هک است.
از آنجا که این نشانه های دسترسی یا توکن به سرقت رفته و نه کلمه عبور، فیس بوک گفت که کاربران آسیب دیده نیازی به تغییر تنظیمات امنیتی خود، از جمله رمز عبور خود ندارند.
برای مطالعه بیشتر بخوانید: فیسبوک برای یافتن مشکلات امنیتی در برنامه های خود پاداش bug bounty میدهد.
اما این یک مسئله امنیتی جدی است
نشانه های دسترسی یا token مجموعه ای از کد هایی هستند که برای یک کاربر پس از ورود به سیستم برای اولین بار به او اعطا می شود و برای او در نظر گرفته می شود.
آنها اغلب در سراسر وب سایت ها استفاده می شوند، بنابراین شما مجبور نیستید هر بار که به صفحه ای می روید مجدادأ در آن وارد شوید و اطلاعات ورود خود را دوباره وارد کنید.
فیس بوک از آنها برای ورود به سیستم ها و حساب هاب کاربران استفاده می کند که اجازه دسترسی امن بدون نیاز به رمز عبور را می دهد.
مهاجمان حمله خود را با یک سری مراحل انجام دادند که به آنها اجازه می داد تا به نشانه های دسترسی میلیون ها نفر از کاربران فیس بوک دسترسی داشته باشند.
آنها با مشاهده یک نمایه از پروفایل های فیس بوک که به عنوان view as به کاربر دیگری اجازه دسترسی می داد، شروع به کار کردند.
ویژگی «مشاهده به عنوان یا view as» به این معناست که کاربران میتوانند ببینند که چگونه نمایه خود را براساس تنظیمات حریم خصوصی خود برای مخاطبین عمومی یا خصوصی تنظیم کنند.
اما زمانی که هکرها این نمایه فیس بوک را به عنوان مشاهده یک کاربر دیگر مشاهده کردند، گاهی اوقات ابزار ارسال یک ویدیو تولد ظاهر می شد، طبق گفته فیس بوک، این نباید اتفاق بیوفتد، اما بارها به دلیل یک اشکال و باگ این اتفاق رخ می داد.
سپس، به دلیل یکی دیگر از اشکالات موثر در ابزارهای ویدئویی این رسانه، هکرها قادر به تولید یک نشانه دسترسی برای کاربران هدفمند می بودند که به آنها دسترسی به حساب این کاربران را می داد.
با استفاده از نشانه دسترسی، هکرها کنترل حساب کاربری مشتریان را در اختیار داشتند.
بخوانید: سال بد فیس بوک، بدتر می شود.
Rosen گفت: “آن حمله ها می توانند” محوری “باشند و حساب قربانی خود را به عنوان یک کاربر دیگر مشاهده کنند، سپس آنها می توانند این فرایند را تکرار کنند و یک توالی دسترسی برای آن کاربر و در اصل برای خود را ایجاد کنند.
این نقض همچنین منجر به انتقاد زیادی از جانب قانونگذاران شده است، که در حال حاضر در مورد معرفی مقررات برای کمک به شرکت های بزرگ فناوری نیز مورد بحث قرار گرفته است.
سناتور مارک وارنر، یک دموکرات از ویرجینیا، در بیانیه ای گفت: «تحقیقات کامل باید به سرعت انجام شود و به صورت عمومی نیز منتشر گردد تا ما بتوانیم بیشتر در مورد آنچه اتفاق افتاده است، درک . فهم داشته باشیم”.
روزن همچنین گفت، تغییرات اداری باعث شد که تیم امنیت سایبری قوی تر عمل کند.
برای مالعه بیشتر: استعفا مؤسسان اینستاگرام انتقاداتی را به همراه داشته است.
بیشتر بخوانید: AI جدید Rosetta فیسبوک: کمک به شناسایی و حذف اطلاعات نامناسب.
همچنین در صورت علاقه بخوانید: گوگل اشتباهات خود در مورد حفظ حریم خصوصی کاربران را می پذیرد.
