ITanalyze

ماه مِی سال جاری تولد 35 سالگیِ مارک زاکربرگ است.... تبریکِ فراوان! اما زاکربرگ کاملاً هم در راه‌اندازی و مدیریت شبکه اجتماعی فیسبوکش موفق عمل نکرده است. او مدام بر سر اینکه فیسبوک از داده‌های خصوصی کاربرانش سوءاستفاده می‌کند پایش به بازجویی‌های فدرال باز می‌شود. مدام هم شاهد این هستیم که رسوایی‌های فیسبوکی دارد سر تیتر خبرهای داغ می‌شود. در این مقاله 10 گاف بزرگ فیسبوک را که سوءاستفاده از اطلاعات یکی از آن‌هاست خدمتتان معرفی کرده‌ایم. پس با ما همراه باشید.

• کمبریج آنالیتیکا: قصه از کجا شروع شد؟

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ همه‌چیز از رسوایی کمبریج آنالیتیکا شروع شد. اوایل سال 2018 همه‌مان برای اولین بار 100 درصد متوجه شدیم اطلاعات و نظراتی که در فیسبوک به اشتراک می‌گذاریم بدون رضایت ما می‌تواند در اختیار گروه‌های طرف‌سوم قرار گیرد. بر این اساس اطلاعات شخصی 50 میلیون کاربر فیسبوک به شیوه‌ای نامناسب در اختیار شرکت مشاوره سیاسی کمبریج آنالیتیکا قرار گرفته بود. اما این تازه اول بدبختی‌های فیسبوک بود... تا آخر این فهرست 10 تایی همراه‌مان باشید.

• توکن‌های سرقت‌شده‌ی فیسبوک

توکن در حقیقت یک کلید دیجیتالی است که به واسطه‌ی آن شما از شر وارد کردن دوباره رمز برای ورود به حساب کاربری خود خلاص می‌شوید. یک سال بعد از ماجرای کمبریج آنالیتیکا هکرها توانستند با استفاده از باگ امنیتی، اطلاعات توکن بسیاری از کاربران را که نزدیک به 30 میلیون نفر بوده‌اند سرقت کنند. مهاجمین توانستند به نام و جزئیات تماس 15 میلیون کاربر دسترسی پیدا کنند. در مورد 14 میلیون مورد دیگر نیز مهاجمین توانستند اطلاعات بیشتری در مورد کاربر و فعالیت‌های فیسبوکی‌اش دریافت کنند. در مورد آن یک میلیون کاربر باقیمانده نیز، عاملین نتوانستند هیچ اطلاعاتی ازشان بدست آورند. آنجا بود که کاربران فیسبوکی پی بردند این شرکت چندان هم که ادعا می‌کرد رخنه‌ناپذیر نیست و اکانت‌ها راحت می‌توانند بدون هیچ ایراد و خللی نیز مورد سرقت و دستبرد قرار گیرند.

• لو رفتن رمزعبورهای فیسبوکی و اینستاگرامی

اگر 30 میلیون برایتان رقم تعجب‌آوری نیست پس شما را به گافِ دیگری دعوت می‌کنیم که این بار صدها میلیون کاربر اینستاگرامی و فیسبوکی را اسیر خود کرد. اوایل سال 2019، فیسبوک خود اعلام کرد فرآیندهای داخلی‌اش که مربوط به امنیت اطلاعات کاربر می‌شد چندان هم بی‌نقص نیست. این شرکت اعتراف کرد که در گذشته بخش از اطلاعات رمزعبورهای متعلق به اکانت‌های اینستاگرام و فیسبوک را روی «نوشته ساده» (plain text) ذخیره می‌کرده است. این شرکت تأکید داشت رمزعبورها تنها برای کارمندان قابل‌روئت‌ هستند و هیچ سوءاستفاده‌ای هم از آن‌ها نمی‌شود. در این مقطع زمانی، رقم دقیق کاربران قربانی اعلام نشده بود. ابتدا این شرکت گفت چنین مسئله‌ای تنها برای کاربران Facebook Lite، ده‌ها میلیون کاربر معمول فیسبوک و ده‌ها هزار کاربر اینستاگرام پیش آمده است. یک ماه بعد، گفته‌ی خود را اصلاح کرد و گفت این مشکل (که البته اکنون پچ شده است) ده‌ها هزار نه، که در حقیقت ده‌ها میلیون کاربر اینستاگرامی را گرفتار کرده بوده است.

• رمزعبورهای اینستاگرامی دوباره لو رفت

در واقع، این اولین باری نبود که کاربران اینستاگرام پی بردند ممکن است رمزعبورهایشان لو رود. مدتی پیش گفته شد قابلیت Download Your Data دارای نقص امنیتی است (البته اکنون پچ شده است) که باعث می‌شود رمزعبورهای اینستاگرام در معرض دستبرد قرار گیرند. اگر کسی برای استفاده از این قابلیت، اطلاعات خود را در بخش لاگین وارد کرده بود، رمزعبورش در URL مرورگرهای وبی و مجدداً در نوشته‌های ساده‌ی سرورهای فیسبوک ذخیره می‌شد.

• درخواست رمزعبور ایمیل‌ها و بعد دستبرد به اطلاعات ایمیل

فیسبوک اطلاعات ایمیل 1.5 میلیون کاربر را بدون رضایتشان را مورد دستبرد قرار داد. صبر کنید، ماجرا پیچیده‌تر از این حرف‌هاست. فیسبوک در حقیقت از کاربرهای تازه‌وارد خواست تا با دادن رمزعبور ایمیلی که با آن لاگین می‌شوند، هویت خود را محرز کنند. وقتی این خبر پیچید، خیلی‌ها فکر کردند دروغ اول آوریل است؛ هیچکس باورش نمی‌شد گروه طرف‌سومی جرأت داشته باشد به اطلاعات ایمیل کاربران فیسبوکی دسترسی پیدا کند. فیسبوک تأکید داشت که به ایمیل کاربران دسترسی نداشت و خیلی بی‌منظور اطلاعات ایمیل کاربران را دریافت کرد. این شرکت می‌گوید از این اطلاعات برای هدفمند‌تر کردن آگهی‌های تبلیغاتی، پیشنهاد دوستان جدید به کاربران و غیره استفاده کرده است.

• احراز هویت دوعاملی، ابزاری برای تبلیغ‌کننده‌ها

البته که همه‌ی ما می‌خواهیم امنیت اکانت‌مان حفظ شود و البته احراز هویت دو عاملی هم روش ایده‌آلی برای رسیدن به این مهم است. اما حتی در همین مرحله نیز باز چالش‌هایی پیش رو وجود دارد. برای مثال، شماره تلفنی که موقع فعالسازی احراز هویت و عاملی برای اکانت فیسبوک‌تان می‌دهید. در نتیجه، بدون اینکه حتی اکانتی داشته باشند، می‌توانند بر اساس همین شماره تلفن پروفایل شما را ببینند. مزیت: فیسبوک همچنین می‌تواند این شماره را با آگهی‌های تبلیغاتی خود مورد هدف قرار دهد.

• کانکت‌های شما هیچگاه از چشمان تبلیغ‌کننده‌ها دور نیست

همانطور که در فوق بدان اشاره کردیم، فیسبوک و اینستاگرام به تبلیغ‌کنندگان اجازه می‌دادند تا به اطلاعات تماس کاربرانش دسترسی پیدا کنند؛ حتی اطلاعاتی که کاربران در فیسبوک هم ذخیره‌اش نکردند! به بیانی دیگر، تبلیغ‌کنندگان نه تنها بواسطه‌ی آدرس ایمیل و شماره تلفن که همچنین اطلاعات دیگر ما را مورد هدف آگهی‌های خود قرار می‌دادند و این ماجرا هنوز هم ادامه دارد. این اطلاعات می‌تواند شماره تلفنی باشد که برای فعال کردن احراز هویت دو عاملی خود وارد می‌کنید و یا آدرس‌های ایمیلی که برای تخفیف و خرید آنلاین می‌زنید. همچنین اگر هر یک از کانتکت‌های شما بخواهد لیست مخاطبین خود را با فیسبوک به اشتراک بگذارد آنوقت تبلیغ‌کنندگان می‌توانند حتی بدون آنکه روحتان هم از این ماجرا باخبر باشد شما را درگیر آگهی‌های هدفمند خود کنند.

• اطلاعات فیسبوکیِ بیشتری با تبلیغ‌کننده‌ها به اشتراک گذاشته شد

فیسبوک در حقیقت از اطلاعات کاربر برای دادن خوراک به گروه‌های طرف‌سوم استفاده می‌کرد. برای مثال، Amazon.com که کلی آگهی تبلیغاتی به فیسبوک می‌داد و در ازایش نیز به نام و آدرس ایمیل تمام کاربران دسترسی پیدا می‌کرد (سونی، مایکروسافت و کلی شرکت‌های دیگر هم به همین شکل).

موتور جست‌وجوی بینگ مایکروسافت نیز اجازه داشت تا بدون رضایت کاربران، نام تمام کاربران فیسبوکی را ببیند. نتفلیکس، اسپاتیفای و رویال‌بانک کانادا نیز این موهبت نصیبشان شده بود تا پیام‌های خصوصی کاربران فیسبوکی را بخوانند، بنویسند و پاک کنند. دستگاه‌های اپل نیز می‌توانستند به ورودی‌های تقویم و لیست مخاطبین دسترسی پیدا کنند (حتی برای کسانی که تنظیمات اکانت خود را برای غیرفعال کردن تمامی این اشتراک‌گذاری‌ها تغییر داده بودند).

تمامی اسامی شرکت‌های نامبرده اذعان داشته‌اند که هرگز از این اطلاعات سوءاستفاده نکرده‌اند؛ برخی حتی گفته‌اند نمی‌دانستند تا این اندازه حق دارند به اطلاعات دسترسی داشته باشند.

• بازار فیسبوک موقعیت مکانی دقیق فروشنده‌ها را لو داد

نقصی (که اکنون پچ شده است) در بازار دیجیتال فیسبوک وجود داشت که موقعیت مکانی دقیق فروشنده‌های خود را در معرض نمایش قرار می‌داد (طول و عرض دقیق جغرافیایی)- البته کالاهای این فروشندگان را نیز به این رسوایی اضافه کنید. برای دیدن لوکیشن حتی نیازی به لاگین کردن در فیسبوک هم نبود. برای افرادی که کالاهای گران‌قیمت برای فروش گذاشته بودند ماجرا بدتر هم شده بود زیرا مجرمان سایبری عاشق اجناس گرانند (مثلاً دوچرخه‌های لوکس).

• نمایش اطلاعات فیسبوکی به شرکت‌های طرف سوم

دو پایگاه اطلاعاتی حاوی داده‌های کاربری در وب باز پیدا شد که در حال ذخیره‌سازی این داده‌ها در نوشته سادهبودند و اجازه می‌دادند هر کسی بدان‌ها دسترسی داشته و نیز آن‌ها را دانلود کند. یکی از این مجموعه داده‌ها به اپ بازی فیسبوک به نام At the Pool برمی‌گردد که چندوقتی می‌شود دیگر بلااستفاده مانده است. دومی نیز شامل بیش از 540 میلیون موزیک متعلق به شرکت رسانه‌ایِ مکزیکی به نام Cultura Colectiva بود (در محدوده آمریکای لاتین). هر دو پایگاه داده‌ایِ به نمایش گذاشته‌شده دارای نام و آدرس کاربران، فهرست دوستان آن‌ها، لایک‌ها، کامنت‌ها و هر نوع جزئیاتی که می‌توانست علایق و سلایق کاربران را محک بزند بودند. گرچه این اطلاعات خیلی هم حساس نبوده و خودِ کارمندان فیسبوک نیز در این ماجرا دخالتی نداشتند اما هنوز هم جای سؤال است که فیسبوک چطور اطلاعات کاربران را با گروه‌های طرف‌سوم به اشتراک می‌گذارد.  

منبع: کسپرسکی آنلاین