نفى Facebook تدريب الطالب بسبب الثغرة الأمنية التي استخدمها

قبل ثلاثة أشهر ، كانت طالبة جامعة هارفارد آران خانا تستعد لبدء تدريب داخلي على Facebook ، ولكن قبل ساعتين من الرحلة تلقت مكالمة برفض . كان السبب هو سلوك الطالب "غير الأخلاقي": نشرت خانا ملحق Chrome الذي يوضح موقع المشاركات على Facebook Messenger. يرسل برنامج المراسلة هذه البيانات افتراضيًا مع كل رسالة من تطبيق الهاتف المحمول.



تطبيق خريطة Marauder (يجب أن يكون الاسم مألوفًا لعشاق Harry Potter) هو امتداد لـ Google Chrome يستخدم بيانات من Facebook messenger لإنشاء خريطة: فهو يعرض الأماكن التي أرسل المستخدمون رسائل فيها. كان هناك فقط أشخاص من الدردشة الجماعية على الخريطة - عرف أران جميعهم. هذا يعني أن شخصًا غير معروف افتراضيًا يمكن أن يرى أن آران كتب رسالة في الرسول أثناء وجوده في ستاربكس.

يعمل Facebook Messenger منذ 2011 - بشكل افتراضي ، يرسل بيانات حول موقع المستخدم منذ لحظة إطلاقه. في عام 2012 ، كتب CNET عن هذه "الخاصية" ، موضحا كيف يمكن تعطيل الوظيفة. تلقى التطبيق العديد من التحديثات ، بما في ذلك الرموز التعبيرية المضحكة مع القطط ، لكن الشركة لم تقم بإزالة إعدادات تحديد الموقع الجغرافي. غالبًا ما استخدم خانا الرسول ، لكنه لم يكن يعرف أنه شارك الكثير من البيانات حتى نظر في سجل الرسائل.


أران خانا ومارك زوكربيرج

26 مايو نشر خانا منشورًا حول "خريطة مارودر" في الوسط، وبعد ذلك تم تنزيل التمديد خمسة وثمانين ألف مرة. بعد ثلاثة أيام ، طلب Facebook من المطور تعطيل التطبيق وفي نفس الوقت أوقف نقل بيانات الموقع على أجهزة الكمبيوتر الشخصية ، الأمر الذي حال دون تشغيل "الخريطة" على أي حال.

بعد أسبوع ، أصدر Facebook تحديثًا لـ Messenger ، موضحًا في الإصدار: "بعد هذا التحديث ، ستتمتع بالتحكم الكامل في وقت وكيفية مشاركة البيانات حول موقعك." في الإصدار ، لم تذكر الشركة أنه في السابق كانت الإعدادات الافتراضية ترسل بيانات الموقع ، وأنه بدون تثبيت التحديث ، سيستمر المستخدمون في إرسال هذه البيانات.

وقالت متحدثة باسم فيسبوك إن الشركة كانت تعمل على تحديث برنامج ماسنجر قبل وقت طويل من نشر خانا المنشور ، وقالت إن عملية التحضير استغرقت عدة أشهر. نشرت

خانا دراسة في مجلة هارفارد للتكنولوجيا والعلوم. وأوضح أن الغرض من التطبيق هو إظهار عواقب تبادل البيانات غير مقصود. لذا يمكن للمستخدمين أن يقرروا بأنفسهم ما إذا كان هذا يمثل انتهاكًا حقيقيًا لخصوصيتهم.

في عام 2012 ، نشرت CNET مقطع فيديو حول كيفية إيقاف تشغيل مشاركة الموقع على Facebook Messenger. ولكن بعد تسعة أيام فقط من نشر Aran في عام 2015 ، ظهر تحديث سأل المستخدم عما إذا كان يريد إرسال هذه البيانات.





بعد ثلاثة أيام من نشر "بطاقة Marauder" وقبل ساعتين من المفترض أن يستمر آران في التدريب ، تلقى مكالمة من Facebook وتم رفض التعاون بسبب انتهاك اتفاقية مستخدم Facebook - لأنه اخترق موقعًا لتلقي البيانات. لم يتفق خانا مع Facebook لأنه استخدم المعلومات التي كان في متناول جميع المستخدمين ، والتي أخذها من رسائله الخاصة.

في عام 2012 ، قال مارك زوكربيرج في رسالة إلى المستثمرين: "لقد أنشأنا نظامًا فريدًا للثقافة والإدارة نسميه طريقة هاكر" و "كن شجاعًا": اتضح أن الشجاعة والقرصنة لها قيود.

في عام 2013 ، أفاد مطور فلسطيني ، خليل شريتح ، بوجود خطأ على Facebook، والذي يسمح لأي مستخدم بوضع رابط على صفحة شخص آخر. أراد ShriTech الحصول على مكافأة عن الثغرة المكتشفة ، لكن الشركة رفضته ، قائلة إن "هذا ليس خطأً". قرر المطور إبلاغ مارك زوكربيرج بنفسه بالخطأ ونشر رسالة على صفحته باستخدام هذه الثغرة الأمنية. لم يستلم خليل المال مطلقًا: Facebook "لا يمكنه أن يدفع لك مقابل هذه الثغرة الأمنية لأن أفعالك انتهكت شروط الخدمة لدينا".

Source: https://habr.com/ru/post/ar382787/