فضيحة جديدة تلحق بالعملاق الأزرق!

تتوالى الفضائح على العملاق الأزرق؛ فبعد فضيحة كامبريدج أناليتيكا، وتسريب معلومات ملايين المستخدمين، ها هي فضيحة جديدة تتعلّق بكلمات المرور الخاصة بملايين المستخدمين.

نشر فيسبوك مؤخراً بياناً صرّح فيه أنّه في خلال العمليات الروتينيّة التي يؤديها فريق الأمان لديه في شهر كانون الثاني (يناير) الماضي، اكتشفوا أنَّ كلمات مرور بعض المستخدمين كانت مسجَّلة على نحوٍ صريح وقابلٍ للقراءة (سنشرح معنى ذلك لاحقاً) ضمن أجهزة التخزين الخاصة بهم، ويُعدُّ هذا الأمر مستهجناً ومستغرباً؛ لأنَّ أغلب أنظمة تسجيل الدخول (إن لم تكن جميعها) ومن ضمنها الفيسبوك تستخدم تقنيات لجعل كلمات المرور غير قابلة للقراءة.

وأوضح بيدرو كاناهوتي Pedro Canahuati -رئيس فريق الحماية والخصوصيّة في فيسبوك- أنَّه لا يوجد أي دليل على تسريب هذه المعلومات خارج الفيسبوك، ونُفِّذت جميع الإجراءات اللازمة لحماية خصوصيَّة المستخدمين وأمانهم، وأنَّه سيُعلم المستخدمون المعنيون بالأمر على مختلف التطبيقات التابعة لفيسبوك، وهم الذين يبلغ عددهم عشرات الملايين في الفيسبوك نفسه Facebook، وعشرات الآلاف في الإنستاغرام Instagram، ومئات الملايين من مستخدمي تطبيق فيسبوك لايت Facebook lite (وهو تطبيق مخفّف أطلقته فيسبوك للبلدان ذات اتصال الإنترنت الرديء)، وأوضح بيدرو أنَّهم عالجوا أيضاً بعض المشكلات في معلومات الأمان الأخرى مثل رموز الوصول Access Tokens؛ وهي رموز ذات صلاحيّة زمنية معينة تحل محل كلمات المرور، وتُستخدَم في جلسات العمل، مثلاً عند تسجيلك الدخول في تطبيق فيسبوك يُولَّد رمز وصول Token ويُرسَل إلى التطبيق، وكل فعل action تؤدِّيه مثل نشر منشور أو وضع إعجاب أو تعليق عندما يُرسَل إلى المخدّم الخاص بالفيسبوك يجب إرفاق رمز وصول Token معه، وإلا لن يُؤكّد هذا الفعل.

لكن كيف يحمي فيسبوك كلمات المرور الخاصة بمستخدميه؟

عندما تنشئ حساباً في فيسبوك تُسجَّلُ معلوماتك كافة كما هي باستثناء كلمة المرور؛ إذ يُطبَّق عليها تابع تشفير هاشيّ Hash Function يُدعى scrypt، ونحصل -نتيجة تطبيق التابع على كلمة المرور التي أدخلتها- على قيمة محرفيّة لا تشبه الكلمة التي أدخلتها؛ لأنها ناتج عملية التشفير باستخدام التابع، وهذه القيمة الناتجة هي التي تُخزن لدى فيسبوك، وعندما تريد تسجيل الدخول لحسابك ثانية تدخل كلمة المرور التي تحفظها فيُطبِّق فيسبوك التّابع نفسه scrypt على الكلمة التي أدخلتها ويقارن القيمة الناتجة مع القيمة المُخزنة سابقاً، وإن حدث تطابق يُسجَّل الدخول لحسابك بنجاح، وإلا فإنه يخبرك أنَّ كلمة المرور المدخلة خاطئة. يتميز هذا النوع من التَّشفير أنَّه غير قابل للعكس؛ أي إنَّه لا يمكن الحصول على كلمة المرور الأصلية انطلاقاً من القيمة الهاشية الناتجة عن التابع، وهذا يختلف عن طريقة التشفير Encryption المُستخدم عادة في إرسال المعلومات من طرف إلى آخر بعد تشفيرها؛ إذ يستطيع المستلم فكَّ تشفيرها والحصول على المعلومات الأصليّة لأنه يملك مفتاح التشفير.

وكون معظمنا يستخدم كلمة مرور واحدة لجميع الحسابات الإلكترونيّة الخاصة به -وقد يكون بعضها حساساً للغاية- يضع فيسبوك عدة إجراءات لتأمين الحماية لمستخدميه بحسب قول بيدرو؛ مثلاً عند تسجيل الدخول من جهاز جديد أو موقع جغرافي يختلف عن موقعك الاعتيادي، يُرسَل تنبيه إلى جهاز مسجل مسبقاً، وقد تُطلَبُ أسئلة أمان للتأكّد من مالك الحساب الحقيقي.

ويضيف أنَّه في حال اكتشاف تطابق بين معلومات أحد المستخدمين العامة على منصات تابعة لمنظمات أخرى مع المعلومات المتوفرة لدى الفيسبوك؛ فسيُعلَم المستخدم بذلك لأخذ حذره وتغيير كلمة المرور. ويوفر الفيسبوك خاصية مفتاح الأمان الفيزيائي physical security key؛ أي يمكنك الدخول لحسابك عن طريق وصل مفتاح USB إلى جهاز الحاسوب الخاص بك.

ويطلب الفيسبوك من جميع مستخدميه تغييرَ كلمات المرور الخاصة بهم كل فترة، واستخدام كلمة مرور مختلفة لكل حساب إلكتروني يمتلكونه، وأن يختاروا كلمات مرور قوية ومعقّدة. ويمكن الاعتماد على برامج خاصة لإدارة كلمات المرور مثل Lastpass وkeypass وغيرها، وتفعيل ميزة المفتاح الفيزيائيّ security key أو التحقق الثنائيّ العوامل two-factor authentication (أي مثلاً بعد تسجيل الدخول يُرسَل رمزُ تأكيد إلى رقم هاتفك ولن يُجرَى الدخول بنجاح إلا بعد إدخال الرمز وهكذا).

بعد كل هذا؛ هل تعتقد أنَّ ما حدث مجرد مشكلة بسيطة في فيسبوك؟ أم أنَّ العملاق الأزرق في طريقه إلى الانحدار؟ شاركنا رأيك.

المصدر:

هنا