يحب المسوقون القريبون من التسويق اليوم مناقشة أنه من الأفضل إدراك أي رسالة حول منتج جديد أو تقنية أو حدث ما إذا كان يحتوي على blockchain. أو خوارزميات التعلم الآلي. وبالمثل ، فإن أي رسالة في مجال أمن المعلومات تصبح أكثر صدى إذا كانت تشير إلى الشبكة الاجتماعية Facebook. الواقع الإعلامي ، الذي يسخنه فضيحة مع خصوصية بيانات المستخدم ، هو أنه إذا وضعت كلمتي "facebook" و "الضعف" في تطبيق واحد ، فإنها تتفاعل وتتسبب في زيادة غير منظمة في النقرات.
حسنًا ، دعنا نستسلم لإرادة هذه الكيمياء الغامضة ونتحدث عما حدث على Facebook الأسبوع الماضي. وفي الوقت نفسه ، تذكر ما حدث على تويتر الأسبوع الماضي. وفي هذه الحالة ، وفي حالة أخرى كانت هناك أخطاء مجهرية تم اكتشافها بشكل مستقل من قبل متخصصي الشركة ، تم إغلاقها بنجاح بأقصى قدر من الاحتياطات ، تم إخطار الجمهور. لكن فيسبوك بأكمله يناقش "مشكلة" فيسبوك ، ولكن لم يلاحظ أحد الخطأ تقريبًا على تويتر. كيف ذلك؟ الآن دعونا نكتشف ذلك.
ما الذي حدث بالفعل على Facebook؟
الأخبار .
تقرير مفصل
عن الشبكة الاجتماعية عن الحدث.
وهنا ما. يمتلك Facebook (بشكل أدق ، إنه لا يعمل الآن ، انظر لقطة الشاشة في بداية المنشور) وظيفة
عرض باسم . متاح لجميع المستخدمين ، سمح لك بمشاهدة ملف التعريف الخاص بك كما لو كان يشاهده شخص آخر. نظرًا لإعدادات الخصوصية العديدة ، تعد هذه ميزة مفيدة إلى حد ما: فهي تسمح لك بفهم ما يراه الغرباء على صفحتك وما لا.
نقطة مهمة: يمكن عرض الصفحة بعيون زائر عشوائي ، أو يمكنك إظهار كيف تبدو من وجهة نظر مستخدم معين ، مع الاسم الأول والأخير. هذه الدقة بالتحديد هي التي دفعت المطورين إلى الدير.
وفقًا لبيدرو كانواتي ، نائب رئيس الهندسة والأمن والخصوصية في Facebook ، هناك ثلاث نقاط ضعف مختلفة. أولاً ، كان هناك خطأ في ميزة "عرض باسم" نفسها. نظريًا ، يجب أن يبدل سياق Facebook إلى مستخدم آخر في وضع "للقراءة فقط" ، بمعنى "مشاهدة صفحة المستخدم فقط التي قمت بتسجيل الدخول من خلالها". في الواقع ، في وضع "عرض باسم" ، تم أيضًا إنشاء حقل لنشر رسالة. ثانيًا ، لم يعمل هذا المجال (بشكل صحيح) في جميع الحالات ، باستثناء حالة واحدة: عندما تريد أن تتمنى عيد ميلاد سعيد لشخص ما ونشر فيديو. ثالثًا ، عند نشر مقطع فيديو ، أنشأ رمز تنزيل هذا الفيديو رمزًا مميزًا ، والذي يمكن استخدامه أيضًا كرمز وصول من تطبيق جوال.
أي أن السيناريو من جانب المهاجم هو تقريبًا ما يلي. يمكنك إنشاء ملف تعريف أو تغيير إعدادات ملف موجود بحيث يكون لديك عيد ميلاد اليوم (uiiii!). باستخدام وظيفة "عرض باسم" ، افتح ملف التعريف الخاص بك كمستخدم آخر. عند عرض ملف شخصي نيابة عن مستخدم آخر ، تتم دعوته (هذا المستخدم الآخر) ليتمنى لك عيد ميلاد سعيد وتحميل فيديو لطيف. عند تحميل مقطع فيديو ، يتم إنشاء رمز مميز. تأخذ هذا الرمز المميز من رمز الصفحة وفي تطبيق الجوال انتقل نيابةً عن مستخدم آخر وبحقوقه.
تبدأ التكهنات الإضافية قليلاً. على سبيل المثال ، هل يجب أن تكون صديقًا للشخص الذي تريد "رؤية" صفحتك بالنيابة عنه؟ إذا حكمنا من خلال وصف ميزات (خاملة الآن) على مواقع الطرف الثالث - فمن الضروري. تذكر الآن منذ متى تم سؤالك للأصدقاء غير المعروفين لك ، ولكن الأشخاص المثابرين للغاية؟ بعد أن تمكنت من الوصول إلى الرمز المميز لمستخدم واحد ، يمكنك سرقة مفاتيح الوصول إلى حساب أحد أصدقائه. وهكذا ، نظريًا إلى الحد الذي تقتصر عليه نظرية المصافحة الستة. هذا نطاق غير محدود تقريبًا.
رائع ، هاه؟ من المثير للاهتمام أن رسالة Facebook المنشورة ليلة الجمعة (في موسكو) كانت متوقعة من
شكاوى المستخدمين من تسجيل خروجهم من Facebook نفسه ومن الخدمات الأخرى للوصول التي تم استخدام حساب الشبكة الاجتماعية عليها. كانت هذه هي نفس الاحتياطات التي طبقتها Facebook على المستخدمين المتأثرين.
أو من المحتمل أن تتأثر؟ يجب أن نشيد بخبراء Facebook - لقد تحدثوا عن نقاط الضعف المكتشفة بأكبر قدر من التفاصيل وبأسرع وقت ممكن. وفقا لهم ، في 16 سبتمبر ، لاحظوا نشاطًا مشبوهًا ، في 25 يوم أصبح من الواضح ما كان يحدث ، في 28 سبتمبر ، تم نشر المعلومات للجمهور - مباشرة بعد "خروج" الضحايا (مما جعل أي رموز مسروقة عديمة الفائدة). ولكن بالضبط كيف عانى نفس هؤلاء الضحايا - تحدث Facebook هنا بشكل غير محدد. ربما هم أنفسهم لا يعرفون على وجه اليقين.
من المعروف أن الثغرة ظهرت في رمز الخدمة في يوليو 2017. قام Facebook بتسجيل خروج 90 مليون مستخدم بالقوة الأسبوع الماضي. ومن بين هؤلاء ، هناك 40 مليونًا هي تلك التي تم تطبيق ميزة "عرض باسم" عليها ، أي أن شخصًا ما نظر إلى صفحته ، وليس بالضرورة مع نوايا إجرامية. 50 مليون آخرين هم أولئك الذين "تأثروا" بالضعف. إذن كيف "أثرت" على شيء ما؟ هناك المزيد من المعلومات في
فك تشفير الموجز الصحفي: يعرف Facebook حوالي 50 مليون مستخدم أنه تم استخراج الرموز المميزة الخاصة بهم. أي ، (تخمين!) استخدم بعض الأشخاص ميزة "عرض باسم" في عيد ميلادهم ، ثم (ربما!) قاموا بتسجيل الدخول إلى الحساب الآخر من نفس عنوان IP. وعلى الأرجح ، كان هذا "النشاط المريب" في 16 سبتمبر ، والذي ذكره ممثلو الشبكة الاجتماعية ، محاولة للاستغلال الآلي الشامل للخلل ، والذي تم إيقافه في أكثر من أسبوع بقليل.
بشكل عام ، تفاعل Facebook بشكل جيد للغاية مع المشكلة. شارك (كما استطاع) معلومات تفصيلية ، واتخذ تدابير فيما يتعلق بالضحايا (حقيقيين أو محتملين). 50 (أو 90) مليون شخص - على نطاق Facebook ، هذا ليس كثيرًا. ومع ذلك ، نظرًا للقلق بشأن خصوصية البيانات الشخصية المقدمة للشبكات الاجتماعية ، فإن الاهتمام المتزايد بهذه الحادثة أمر مفهوم أيضًا. هناك نقطتان ايجابيتان أولاً ، لم تتم سرقة كلمات المرور ، وإذا كانت هناك أدوات وصول غير قانونية لحسابات الأشخاص الآخرين متاحة ، فقد تم تدميرها من خلال "تسجيل السجاد". ثانيًا ، حتى إذا كنت من بين المصابين المزعومين ، وحتى إذا تمكن شخص ما حقًا من الوصول إلى بياناتك ، فلم يكن كل شيء يعرفه Facebook عنك في أيديهم. لأن Facebook لا
يشارك المعرفة الحقيقية حول المستخدمين حتى مع المستخدمين أنفسهم.
وكان تويتر محظوظًا الأسبوع الماضي.
ماذا حدث على تويتر؟
الأخبار .
تقرير فني للشبكة
الاجتماعية .
بطريقة ما ، فإن الخلل الموجود على Twitter مشابه لما وجد في Facebook. تم العثور على الثغرة في واجهة برمجة التطبيقات التي تسمح للشركات بالتواصل مع العملاء - بشكل عام ، فهي واجهة لرسائل البريد الجماعية أو استقبال الرسائل الشخصية. إذا تحدثت مع شخص يستخدم واجهة برمجة التطبيقات هذه ، فقد تكون مراسلاتك في ظل ظروف معينة في يد جهة خارجية.
حسنًا ، حتى في هذا الشكل ، لا يبدو الأمر مخيفًا. الممارسة أكثر مملة. أولاً ، يمكن لشركاء Twitter المسجلين فقط استخدام واجهة برمجة التطبيقات. ثانيًا ، حتى يعمل الخطأ والرسائل الخاصة بشكل
خاطئ ، يجب على كلا الشريكين (أ) الجلوس على نفس عنوان IP ، (ب) العمل مع واجهة برمجة التطبيقات باستخدام عنوان URL الذي يتطابق تمامًا
بعد الخط المائل (www.xxx.com/twitter_msg و
www.yyy .com / twitter_msg هي مصادفة) ، (ج) لم ينجح الوصول إلى خوادم تويتر في فترة زمنية محددة بستة دقائق.
هذا عندما يتزامن كل هذا ،
يتحول النقل إلى قرع. تبدأ ذاكرة التخزين المؤقت على تويتر سيئة التكوين بصق الرسائل في أي مكان ، أو بالأحرى ، في اتجاه محدد بدقة من المصادفة الفريدة للمزالق. بشكل عام ، ليس من المستغرب أن تسبب خلل Facebook في رنين أكثر بكثير من ثقب Twitter ، على الرغم من أن خصائص كل من الخلل متشابهة تمامًا. هناك وهناك ، على ما يبدو ، كان هناك إشراف عند تحديث الرمز في بنية تحتية معقدة. من المحتمل أن يقوم شخص ما بقطع بعض الزوايا عند رؤية ميزة جديدة في الإنتاج: يحدث هذا غالبًا إذا طار مدير فوقك بكلمات "أحضر لي بعضًا سريعًا في عيد ميلادي!".
حجم الضرر مذهل. خذ أي شركة أصغر ، ولن يلاحظ أحد ضعفًا لـ 5٪ من الجمهور. وهنا نتحدث فورًا عن عشرات الملايين من الناس. ماذا تفعل حيال ذلك؟ توصي مدونة Kaspersky Lab بشكل معقول بعدم القيام
بأي شيء . على المدى الطويل ، أوصي التمرين التالي. مهما كان ما ترسله إلى الإنترنت ، حتى إلى أكثر الخدمات الخاصة والخاصة ، تخيل للحظة أنك تنشر نفس الرسالة على جميع مشاركات مدينتك. إذا لم تعد الرسالة في مثل هذا السياق تبدو غير ضارة ، فربما لا تستحق إرسالها.
إخلاء المسؤولية: قد لا تتوافق الآراء الواردة في هذا الملخص دائمًا مع الموقع الرسمي لـ Kaspersky Lab. يوصي المحررون الأعزاء بشكل عام بمعالجة أي آراء مع شك صحي.