كل ما يجب عليك ان تفعله تجاه عملية اختراق الفيسبوك الأخيرة!

 

يوم الثلاثاء وبتاريخ 25 سبتمبر، لاحظ مهندسو الفيسبوك نشاط غريب على سيرفرات الشركة، وبعد التحري تبين ان هنالك عملية اختراق لما يقارب 50 مليون حساب مستخدم فيسبوك!

 

كيف حصلت عملية الاختراق؟ وماذا يترتب علينا نحن لمواجهة هاذ الاختراق!

 

في البداية وقبل الخوض في التفاصيل، دعني اشرح لك تقنية مستخدمة في الفيسبوك وفي مواقع عديدة أخرى، هذه التقنية تسمح لتطبيقات الطرف الثالث (وهي تطبيقات يتم برمجتها  داخل الفيسبوك) بعملية اتصال متبادل بين بيانات الفيسبوك وبيانات الشركة، مثلا تطبيق شاهد كيف تظهر بدون شعر الراس، او مثلا تطبيق شاهد كيف تبدو بعد 40 سنة، وغيرها من التطبيقات التي نشاهدها على الفيسبوك. ببساطة في حال قام المستخدم باستخدام التطبيق، فان الموقع يطلب منه تسجيل دخول عبر الفيسبوك، واثناء عملية تسجيل الدخول فان المستخدم يوافق على إعطاء التطبيق صلاحيات، مثلا صلاحية حصول التطبيق على اسم المستخدم وصلاحية النشر على حسابه الخاص وغيرها من الصلاحيات. وهنا يحدث تبادل لبيانات المستخدم الخاصة مع الشركة.

 

عملية تسجيل الدخول الى التطبيق تكون مرة واحدة، حيث ان استخدامك مجددا للتطبيق لن يطلب منك الموافقة على صلاحيات من جديد والمتابعة، وذلك لان بمجرد إعطاء تطبيق صلاحية فان الفيسبوك يقوم بتوليد كود فريد من نوعه لا يتكرر نهائيا مع أي مستخدم اخر، هاذ الكود يستخدم بدل عملية تسجيل الدخول كل مرة. يطلق على هاذ الكود اسم اكسس توكن Access Token.

تقنيا، في حال حصول أي شخص على "توكن" خاص بأي مستخدم فيسبوك، فانه يستطيع استخدام هاذ التوكن لقراءة بيانات خاصة للمستخدم تباعا للصلاحيات التي ذكرت امثلة عليها سابقا والتي قام المستخدم بإعطائها للتطبيق. منها الحصول على تاريخ ميلادك، اسمك، قراءة منشوراتك الخاصة، الوصول الى صورك. الخ

شركة الفيسبوك اعترفت انه تم اختراق ما يقارب 50 مليون مستخدم وذلك من خلال حصول الهكرز على توكنز خاصة بحساباتهم، ولكن الشركة عملت على انهاء صلاحية التوكنز لما يقارب 90 مليون مستخدم كأجراء احتياطي، أي ان التوكنز الموجودة مع الهكرز أصبحت منتهية الصلاحية وغير قابلة للاستخدام.

 

كيف حصل الهكرز على التوكنز وكيف تمت عملية الاختراق!

 

الفيسبوك لم يصرح كالمعتاد عن عملية الاختراق بتفاصيلها التقنية، ولكن أشارت الشركة الى ان عملية الاختراق كانت من خلال نظام رفع فيديو تم توفيره للمستخدمين شهر 7 من عام 2017. رابط اعلان الفيسبوك عن عملية الاختراق:

 

 

 

كيف تواجدت ثغرة سرقة اكواد التوكنز في الفيسبوك؟!

 

  • - أولا، هناك ميزة في الحسابات الشخصية تسمى View as تسمح لك بمشاهدة حسابك الخاص كيف يبدو من لغير الأصدقاء، بمعنى اخر، ماهي البيانات التي يستطيع أي مستخدم غير صديق لك من مشاهدتها عند زيارته او تصفحه لحسابك الخاص.
  • - ثانيا، هذه الميزة وبشكل خاطئ من الفيسبوك كانت تحتوي خاصة رفع فيديو خاص للتهنئة بعيد الميلاد.
  • - ثالثا، ميزة رفع الفيديو التي وفرها الفيسبوك سنة 2017، ومن خلال نظام رفع الفيديو كانت تعمل على توليد توكن خاص بتطبيق فيسبوك لأجهزة الجوال، وعرضه في محتوى الصفحة أي داخل HTML.

في حال استخدام ميزة View as لمشاهدة حساب مستخدم اخر، فان الخلل الأمني السابق المتواجد في ثلاث نقاط ضعف للفيسبوك يعمل على توليد توكن خاص بالحساب الهدف وليس حساب الشخص المتصفح، أي ان الهكرز استخدموا هاذ الضعف الأمني للحصول على ما يقارب 50 مليون توكنز.

 

 

كيف عالج الفيسبوك هذه الثغرة!

 

قام الفيسبوك أولا بأنهاء صلاحية كل التوكنز لـ 50 مليون مستخدم وكأجراء احتياطي لـ 40 مليون مستخدم اخر، بمجموع 90 مليون مستخدم فيسبوك، وذلك من خلال فرض عملية تسجيل خروج جماعي لـ 90 مليون مستخدم، وبلا شك ان هنالك العديد من المستخدمين الذي تفاجؤوا بتسجيل خروجهم من الفيسبوك دون معرفة السبب. وأيضا تم تعطيل ميزة View as مؤقتا لغاية اجراء فحص أمني من جديد للتأكد من خلوها من ثغرات أخرى.

 

 

حسابي على الفيسبوك قام بعمل تسجيل خروج لوحده، ماذا افعل؟ وهل انا مخترق؟

 

لا، انت لست مخترق، عملية تسجيل خروجك كانت لهدف تعطيل كافة التوكنز القديمة التي تربط حسابك مع تطبيقات الفيسبوك. حيث انه لم يتم الكشف عن كلمة مرور حسابك الشخصي نهائيا. ولكن هنالك بعض الأمور المهمة التي لم تشر لها الشركة حيث يجب عليك اتباعها كنصائح، اوضحها لك فيما يلي.

  • - لا نعلم ان كان الهكرز تمكن من استخدام التوكنز لعملية جمع بيانات الـ 50 مليون مستخدم ام لا قبل انهاء صلاحية التوكنز من قبل الفيسبوك، وهذه البيانات تشمل على الاسم وتاريخ الميلاد وغيرها من البيانات الخاصة المتعلقة بك خصوصا بريدك الإلكتروني. وفيه هذه الحالية عليك ان تنتبه ان الهكرز محتمل ان يكون لديهم حاليا بريدك الإلكتروني المرتبط بحاسبك على الفيسبوك، هنا يجب عليك التأكد ان بريدك الإلكتروني يحتوي الحماية اللازمة وانصحك بأجراء عملية تسجيل دخول الى بريدك الإلكتروني وتفعيل المصادقة الثنائية عليه.

  • - عملية تسجيل الخروج من حسابك الفيسبوك تنهي التوكنز المرتبطة في حسابك والتي يتم توليدها من قبل الفيسبوك دون علمك، مثل التوكنز التي تم سرقتها من قبل الهكرز.

  • - كأجراء احتياطي لا بأس ان قمت بتغيير كلمة مرور حسابك.

 

ما يجب عليك معرفته حول توكنز الفيسبوك (بعد اجراء فحص مني شخصيا):

 

- عملية تسجيل الخروج تنهي التوكنز التي يتم توليدها داخل حسابك الشخصي (البروفايل)

  • - عملية تسجيل الخروج لا تنهي جميع التوكنز التي يتم توليدها لحسابك بشكل عام، هنالك توكنز تبقى فعالة حتى بعد تغيير كلمة المرور، ولكن هذه التوكنز لا يستطيع أحد الوصول اليها الا في الحالات التالية:

  • 1- حصول أحدهم على صلاحية تسجيل دخول الى حسابك الشخصي

  • 2- قيامك بتنصيب برمجيات على متصفحك الخاص او تنفيذ كود معين من خلال نسخه ولصقه داخل كونسول المتصفح.

  • - التوكن لديه فترة انتهاء صلاحية، ممكن ساعة او شهر او أكثر، وهناك توكن لا تنتهي صلاحيته ابدا.

  • - كل توكن هو مجموعة من الأرقام بحيث تعبر عن المستخدم، التطبيق، الصلاحيات. ولا يمكن لتوكن ان يتشابه مع مع توكنز اخر نهائيا.

  • - يتم توليد التوكن بطريقتين، الأولى من خلال اجراء عملية تسجيل دخول الى تطبيق ما، الثانية تلقائيا من خلال برمجيات الفيسبوك، فهنالك مثلا توكن خاص بتطبيق الإعلانات وتوكن اخر خاص لتطبيق الجوال.

 

بقلم : خليل شريتح