صبح امروز، فیسبوک پرده از باگ جدیدی برداشت که به واسطهی آن هکرها میتوانند اطلاعات حساب کاربران زیادی را از طریق توکنهای فیسبوک به دست آورند. توکنها کلیدهای دیجیتالی هستند که جایگزین اطلاعات حساب شما میشوند تا هربار نیازی به وارد کردن نام کاربری و رمز عبور نداشته باشید. حفرهی امنیتی کشف شده، باعث شده است اطلاعات حساب ۵۰ میلیون کاربر فیسبوک به دست هکرها بیفتد و ۴۰ میلیون دیگر در معرض خطر باشند. به همین دلیل فیسبوک در تلاش است ۹۰ میلیون کاربر تحت تأثیر قرار گرفته را وادار به ورود به حساب کاربری خود کند تا امنیت آنها تأمین شود.
فیسبوک میگوید مسئله را حل کرده و در مورد پیگرد قانونی این سوءاستفاده هشدار داده است؛ چرا که سوءاستفادهی صورت گرفته به دلیل یک اشتباه مهندسی نبوده است؛ بلکه یک اکسپلویت هدفمند از سوی یک سازمان یا هکر بوده است.
ظاهرا تیم مهندسی فیسبوک، سه روز پیش در جریان این حفرهی امنیتی قرار میگیرد؛ اما گای روزن، نایب رئیس بخش مدیریت محصول فیسبوک اعلام کرد که مشخص نیست چه زمان از این حفره سوءاستفاده شده است و چه کسانی پشت این حمله هستند.
مارک زاکربرگ، در پستی که در صفحهی خود منتشر کرده نوشته است:
روز سهشنبه متوجه شدیم که یک هکر از حفرهی امنیتی موجود در سایت بهرهجویی کرده و موفق شده است کلیدهای دیجیتال ورود به حساب ۵۰ میلیون کاربر فیسبوک را به دست بیاورد. ما هنوز نمیدانیم که از این حسابها استفادهی سودجویانه انجام گرفته است یا نه؛ اما در حال بررسی موضوع هستیم و به محض پی بردن اطلاعرسانی خواهیم کرد.
نقص امنیتی مورد بحث که امکان بهرهجویی به فرد مهاجم را میدهد از قابلیتی به نام View As نشات میگیرد. کاربرد این قابلیت این است که کاربر میتواند تنظیماتی را که در نمایهی خود اعمال کرده است از نگاه دیگران ببیند؛ اما ظاهرا این ویژگی ناخواسته توکنهای امنیتی فیسبوک را هنگام انتخاب یک پروفایل فاش میکردند. این مسئله باعث میشد هکر به حساب کاربری فردی که قصد داشت صفحهی خود را از نگاه او ببیند، دسترسی پیدا کند.
فیسبوک میگوید علاوه بر وادار کردن ۹۰ میلیون کاربر به بازگشت به حسابهای کاربری خود، ویژگی View As را نیز غیرفعال میکند تا بررسیهای امنیتی لازم را انجام دهد.
هرچند فیسبوک توضیحات فنی مختصری در مورد سوءاستفادهی موردبحث ارائه داده است، اما هنوز جزئیات بیشتری در این رابطه وجود دارد:
حملهی صورتگرفته از چند حفرهی امنیتی بهصورت همزمان بهره گرفته است. ریشهی اصلی آن تغییری بوده است که جولای سال گذشته در قابلیت بارگذاری ویدیو اعمال کردیم و View As را تحت تأثیر قرار داد. مهاجم یا مهاجمین باید ابتدا این حفره را کشف کرده باشند، سپس موفق شده باشند از یک حساب به حساب دیگر راه پیدا کرده و توکنهای بیشتری را ربوده باشند.
فیسبوک در ارتباط تلفنی با خبرنگاران گفته است:
ویژگی آپلود ویدیو که جولای سال گذشته اضافه شد، مربوط به ابزاری بود که به کاربران امکان آپلود ویدیوهای تولد را میداد و ظاهرا این ویژگی در کنار دو باگ امنیتی دیگر باعث اختلال در View As و افشای توکنها شده است. این شرکت اطمینان داد که هیچ اطلاعاتی در خصوص کارتهای اعتباری کاربران افشا نشده است.
خبر این سوءاستفاده در حالی منتشر شد که تنها چند ساعت پیش از آن، یک هکر نامدار تایوانی به نام شانگ شی یوانمدعی شده بود روز یکشنبه حساب کاربری مارک زاکربرگ در فیسبوک را حذف خواهد کرد تا نوعی نقص امنیتی در این شبکهی اجتماعی را فاش کند. مشخص نیست که حفرههای امنیتی کشف شده، همان نقصهایی هستند که شییوان قصد استفاده از آنها را داشت؛ اما توالی این اتفاقات کمی شکبرانگیز است. فیسبوک میگوید اکسپلویت صورتگرفته ارتباطی به ادعای شییوان ندارد.
فیسبوک که از سال گذشته تا کنون دچار رسواییهای امنیتی متعددی شده است، اینبار نگرانی جدیدی دارد و آن عدم حضور الکس استاموس رئیس بخش امنیت این شرکت است. وی ماه گذشته این شرکت را ترک کرد و فیسبوک تصمیم گرفت بهجای جایگزین کردن وی با شخصی دیگر، سازمان تیم امنیت خود را بازچینی کند. یکی از سخنگویان فیسبوک در آن زمان گفت که این شرکت در حال سنجش این موضوع است که کدام چینش و سازمانبندی در راستای حفاظت از امنیت کاربران بهتر عمل میکند.
فیسبوک نزدیک به دو میلیارد کاربر دارد. امنیت دو میلیارد کاربر دیگر نیز در اینستاگرام و واتساپ نیز وابسته به شرکت مادر آنها یعنی فیسبوک است. مدیر فیسبوک، مارک زاکربرگ پس از جریان کمبریج آنالتیکا که امنیت این شبکهی اجتماعی را زیر سؤال برد، با اشاره به تعداد بالای کاربران فیسبوک گفته بود: «ما موظف به تأمین امنیت شما هستیم. اگر نتوانیم این کار را بکنیم لایق سرویس دادن به شما نیستیم.»