حاولت منصة التواصل الإجتماعي فيسبوك على مدار الأشهر القليلة الماضية إقناع المستخدمين أنها شركة جديرة بالثقة، وذلك في أعقاب فضيحة تسريب بيانات المستخدمين إلى شركة سياسية، ولكن يبدو أن هناك تطبيق اختبار مختلف قد يسبب أزمة جديدة للمنصة، إذ اكتشف أحد الباحثين أن تطبيقًا تابعًا لجهة خارجية يدعى NameTests قد تمكن من الحصول على بيانات 120 مليون مستخدم ضمن فيسبوك.
وكانت فضيحة الخصوصية ضمن المنصة قد بدأت في شهر مارس/آذار، وذلك مع اكتشاف أن هناك شركة بيانات تدعى كامبريدج أناليتيكا Cambridge Analytica حصلت بشكل غير قانوني على بيانات مستخدم فيسبوك من خلال تطبيق اختبار يسمى “This Is Your Digital Life”، وكانت المنصة على علم بهذا الانتهاك لسياساتها ولكنها لم تفعل شيء تقريبًا حول هذا الموضوع لسنوات.
وبدأت منصة فيسبوك بإجراء تغييرات، بعضها كبير وبعضها صغير، بعد شهادة المدير التنفيذي للشركة مارك زوكربيرج أمام المشرعين، وتعرض المستثمرين للتوتر، وأدت عملية مراجعة تطبيقات الجهات الخارجية في شهر مايو/أيار، والتي لا تزال جارية، إلى تعليق حوالي 200 تطبيق، مع عدم تحديد جدول زمني رسمي حول موعد انتهاء العملية أو أي تحقيقات مرتبطة بها.
وأعلن المدير التنفيذي مارك زوكربيرج عن المراجعة في 21 مارس/آذار، حيث كتب أن الشركة “ستقوم بالتحقيق في جميع التطبيقات التي لديها إمكانية الوصول إلى كميات كبيرة من المعلومات قبل التغييرات التي تمت على المنصة في عام 2014 للحد بشكل كبير من الوصول إلى البيانات، وسنقوم بإجراء تدقيق كامل لأي تطبيق لديه نشاط مشبوه”.
وكانت المنصة قد اعترفت في أوائل شهر أبريل/نيسان بوجود عيب أمني كبير يتمثل بإساءة استخدام ميزة البحث عن الحساب واستعادته من قِبل الجهات الفاعلة الخبيثة الذين تمكنوا على مدى عدة سنوات من جمع البيانات الشخصية بشكل سري حول غالبية مستخدمي المنصة البالغ عددهم حوالي 2 مليار شخص، واستخدام تلك المعلومات ذات القيمة العسكرية أو السياسية.
ويبدو أن هناك الكثير من المشاكل التي تنتظر المنصة، وذلك كما ظهر من خلال اكتشاف الباحث الأمني Inti De Ceukelaire لعيب أمني ضمن تطبيق NameTests، حيث وصف الباحث عملية الإبلاغ عن الخلل ضمن تطبيق الاختبار إلى برنامج مكافآت فيسبوك لإساءه استعمال البيانات الذي تم تأسيسه حديثًا.
موضوعات ذات صلة بما تقرأ الآن:
ويوضح الباحث أنه لم يستخدم سابقًا أي تطبيق اختبار بشكل شخصي، لكنه بدأ البحث ضمن التطبيقات التي ثبتها أصدقاؤه على فيسبوك، وقرر إجراء أول اختبار من خلال تطبيق NameTests، وبدأ في تتبع كيفية تعامل تطبيق الاختبار مع بياناته، ولاحظ أن موقع الويب الخاص بتطبيق NameTest يحفظ بياناته الشخصية في ملف JavaScript، بحيث يمكن لموقع NameTest توفير البيانات الخاصة بملف المستخدم الشخصي لأي موقع آخر يطلبها منه بسهولة.
كما يوفر NameTest رمزًا للوصول يمكنه السماح للمواقع المشبوهة بالوصول إلى المعلومات المتعلقة بمشاركات المستخدم وصوره وأصدقائه لمدة تصل إلى شهرين، وكتب الباحث الأمني “اعتمادًا على الاختبارات التي قمت بها، يمكن لجافا سكريبت تسريب معرف فيسبوك الخاص بك والاسم الأول والكنية واللغة والجنس وتاريخ الميلاد وصورة الملف الشخصي وصورة الغلاف والأجهزة التي تستخدمها ومتى قمت بتحديث معلوماتك مؤخرًا ومشاركاتك وحالاتك وصورك وأصدقائك”.
وقد تكون ثغرة NameTest عبارة عن خطأ بسيط أو مثال للإهمال، ولكنها بالتأكيد مثال قوي على مدى ضآلة عدد مرات مراقبة فيسبوك لبيانات المستخدمين أثناء توفيرها للعالم عبر آلاف التطبيقات، حيث يمكن للمتسللين استخدام نقاط البيانات التي توفرها التطبيقات من أجل إجراء جميع أنواع الأنشطة الشائنة، حيث يمكن ابتزاز المستخدم من خلال التهديد بكشف أنشطته وأصدقائه وعائلته وكل بياناته الخاصة ضمن منصة فيسبوك.
ويثبت اكتشاف NameTest مدى عدم معرفة المستخدمين بتطبيقات الجهات الخارجية التي تم تحصل على البيانات، كما يؤكد مدى صعوبة التبليغ عن مثل هذه الأمور لبرنامج مكافآت فيسبوك الجديد حول إساءة استخدام البيانات، حيث يقول De Ceukelaire أنه أبلغ عن هذه المسألة في 22 أبريل/نيسان، وبعد ثمانية أيام، رد موقع فيسبوك بأنه كان يبحث في الأمر.
وأعاد الباحث سؤال فيسبوك بتاريخ 14 مايو/أيار حول ما إذا كانت المنصة قد تواصلت مع مطوري تطبيق NameTest، وبعد مرور ثمانية أيام رد فيسبوك أن الأمر قد يستغرق من ثلاثة إلى ستة أشهر لإجراء التحقيق، وخلال هذه المدة كان تطبيق NameTest ما يزال متواجدًا، وبالرغم من أن فيسبوك لم توضح أي شيء، فقد لاحظ الباحث بتاريخ 25 يونيو/حزيران أن تطبيق NameTest قد حل المشكلة.
وقد استغرقت المنصة ما لا يقل عن شهر لإصلاح المشكلة، وقال متحدث باسم شركة Social Sweethearts الألمانية المسؤولة عن تطبيق NameTest في رد حول المشكلة: “وجد التحقيق أنه لم يكن هناك أي دليل على أن البيانات الشخصية للمستخدمين قد تم الكشف عنها لأطراف ثالثة غير مرخص لها، وأنه لم يكن هناك أي دليل على إساءة استخدامها، ومع ذلك ، فإننا نأخذ أمن البيانات على محمل الجد، ويجري حاليًا اتخاذ تدابير لتجنب المخاطر في المستقبل”.