«أرغب في منح العاملين في فيسبوك القدرة على تجريب أشياء جديدة، ولا أطالبهم بأن تكون تجاربهم الأولى مثالية، ما أركز عليه فعلًا تنمية قدرتهم على التعلم، مما سيؤدي إلى الحصول على المنتجات الأفضل بعد ثلاثة، أو خمسة، أو حتى سبعة أعوام من الآن (...) المثير للإعجاب في بنية فيسبوك التحتية هو قدرتها على تمكين مهندسينا من إجراء هذه التجارب على المستخدمين (...) أرى أن هذه الثقافة تساعدنا على أن نسبق الشركات الأخرى ولو قليلًا. أحيانًا تزداد سرعتنا (في التجارب) ونفسد كثيرًا من الأشياء، لكن لا بأس، سيتوجب علينا إصلاحها».
الفقرة السابقة كانت إجابة مارك زَكربرغ، الرئيس التنفيذي لفيسبوك، على أحد الأسئلة الموجهة له خلال مؤتمر «disrupt». لم يكن للسؤال علاقة بحادثة اختراق فيسبوك الأخيرة، فكلام زكربرغ المذكور يعود إلى عام 2013، حين كانت منصته تجذب 1.2 مليار مستخدم شهريًّا فقط.
لكن إجابته تلك كانت تستحق أن تتصدر البيان الذي أعلن من خلاله، يوم الجمعة 28 سبتمبر، عن تعرض ما يقرب من 50 مليون حساب على فيسبوك للاختراق، مؤكدًا ضرورة استمرار تطوير الأدوات التي تحمي معلومات مستخدميه، وهو الاستنتاج الذي احتاج زكربرغ لكي يتوصل له إلى خمسة أعوام، وفضيحتين، ومليار مستخدم إضافي.
إذًا، ما الذي حدث؟
لو استيقظت في الجمعة 28 سبتمبر ووجدت تطبيق فيسبوك يطالبك بمعلومات الدخول على حسابك، فبنسبة 55.6% تعرضت للاختراق.
بحسب ما ذُكر في بيان زكربرغ، اختُرقت رموز وصول (Access Tokens) ما يقرب من 50 مليون حساب على فيسبوك. رموز الوصول هي الشيء الذي يُبقي حساب فيسبوك، وحسابات التطبيقات الأخرى، مفتوحة على هاتفك، دون الحاجة إلى إعادة إدخال بياناتك في كل مرة تستخدم التطبيق، ما يساعد فيسبوك على زيادة فرص استخدامك لموقعهم لوقت أطول.
بحصول المخترقين على رمز الوصول الخاص بحسابك، يصير باستطاعتهم الاطلاع على بياناتك، أو استخدام حسابك بالنيابة عنك، أو اختراق حساباتك على المواقع الأخرى التي استخدمت فيسبوك للدخول إليها، أي أن أثر الاختراق يتعدى الـ50 مليون حساب بمراحل، لكن الرقم الحقيقي لا يمكن حصره حتى الآن.
كل هذه الخسائر دون أن يحصل المخترقون على كلمات المرور الخاصة بالحسابات، فقط رموز الوصول.
غير معلوم حتى الآن فيمَ استُخدمت الحسابات المخترقة، ولا مصير المعلومات المرتبطة بها، ومن المحتمل ألا نعرف هوية المخترقين على الإطلاق، وفقًا لغاي روزن، نائب رئيس منتجات فيسبوك.
لكن الشركة أكدت أن بيانات البطاقات البنكية المتصلة بحسابات الموقع آمنة حتى بالنسبة للحسابات المخترقة. ومثلما أجبرت الـ50 مليون حساب على تسجيل الخروج، فعلت المثل مع 40 مليونًا آخرين كإجراء احتياطي، لأنهم كانوا معرضين للخطر. وأكدت الشركة تعرض حسابَيْ مارك زكربرغ نفسه، وشيريل ساندبرغ (Sheryl Sandberg) مديرة عمليات فيسبوك، للاختراق.
لذا، لو استيقظت في الجمعة 28 سبتمبر ووجدت أن تطبيق فيسبوك يطالبك بمعلومات الدخول على حسابك، فبنسبة 55.6% تعرض الحساب للسرقة.
ماذا تفعل؟ الإخوة في فيسبوك يخبرونك بأن لا تقلق، فكل الأمور تحت سيطرتهم بالطبع، لكن مسؤول من «McAfee»، إحدى أكبر شركات الأمن الرقمي، ينصح المستخدمين بتغيير كلمة مرور جميع حسابات مواقع التواصل الاجتماعي.
لكن، كيف حدث الاختراق؟
هل تعرف خاصية «View As»؟ توضح لك هذه الخاصية كيف يرى الآخرون حسابك، وما المعلومات التي يمكن لمستخدمين آخرين أن يعرفوها عنك، والهدف من تطويرها زيادة تحكم المستخدمين في خصوصيتهم.
في يوليو 2017، حدث مهندسو فيسبوك خاصية جديدة تمكِّن مستخدميه من رفع مقاطع فيديو لتهنئة أصدقائهم بأعياد الميلاد. بعدها بأكثر من عام، وفي يوم 25 سبتمبر 2018، اكتُشِف أن خاصيتي «View As» وفيديوهات أعياد الميلاد تحملان ثغرات يمكن استخدامها لسرقة رموز الوصول الخاصة بحسابك، وبالتالي قوائم الأصدقاء، ومن ثَمَّ استغلال الحسابات الجديدة لسرقة رموز وصول حسابات أصدقائهم، وهكذا.
كانت التحقيقات في هذه الثغرة قد بدأت يوم 16 سبتمبر، بعد أن لوحظت زيادة غير عادية في عدد مستخدمي فيسبوك، ما يعني أن الثغرة الأمنية كانت موجودة لـ13 شهرًا على الأقل دون أن تُلاحظ.
ألم تكن هناك ضجة عن اختراق فيسبوك منذ فترة؟
نعم، إلى حدٍ ما.
كشفت عدة تحقيقات استيلاء شركة «كامبريدج أناليتيكا» على معلومات ما يقرب من 87 مليون حساب في فيسبوك منذ عام 2014، ثم، باستخدام هذه المعلومات، تطوير خوارزميات للتنبؤ والتأثير في اختيارات الناخبين الأمريكيين لصالح مرشحَي الحزب الجمهوري، تيد كروز ودونالد ترامب. انتهى الأمر بفوز ترامب برئاسة الولايات المتحدة الأمريكية، واضطر زكربرغ للمثول أمام الكونغرس في إبريل 2018 لإجابة أسئلة النواب عن الحادثة، التي وُصفت حينها بـ«الاستيلاء» وليس «الاختراق».
الفارق الرئيسي بين الحادثتين في طريقة الحصول على البيانات، فـ«كامبريدج أناليتيكا» اتفقت مع فيسبوك على الحصول على معلومات عن المستخدمين لأغراض أكاديمية، من أجل اختبار تجريه على عينة من مستخدمي فيسبوك. جمعت الشركة معلومات من أجروا الاختبار، ومعهم الأشخاص الموجودون على قوائم أصدقائهم، واستخدمت كل تلك البيانات لأغراض تجارية وسياسية. لذا، فالحصول على المعلومات لم يكن باختراق أنظمة فيسبوك الدفاعية، على عكس تسريب البيانات الأخير.
المعلومات التي يجمعها فيسبوك عن غير مستخدميه ربما تحول الإنترنت إلى مصيدة معلومات.
مِن بين التغييرات التي أحدثها قانون حماية الخصوصية الأوروبي، لم يكن هناك ما يتقاطع مع الحادث الأخير إلا حق الأفراد في معرفة حدوث اختراقات لبياناتهم خلال 72 ساعة من علم فيسبوك بالانتهاك، ويبدو أن هذه هي الأيام الثلاثة التي استغرقها مارك بين كشف الثغرة يوم 25 سبتمبر، والإعلان عنها في 28 سبتمبر. لكن إعلان زكربيرغ لم يكن وافيًا، ولم يتضمن مثلًا أن الانتهاكات شملت حسابات المستخدمين على المواقع الأخرى المرتبطة بفيسبوك.
رغم ذلك، يمكن اعتبار بيان زكربرغ تطورًا مقارنةً بما حدث في قضية «كامبريدج أناليتيكا»، التي كشفتها الصحافة وماطل فيسبوك في تأكيدها.
اقرأ أيضًا: قانون حماية الخصوصية الأوروبي: بياناتك الآن في أمان.. على الأغلب
هل نسُب زكربرغ؟
خلال جلسة الكونغرس الشهيرة في إبريل 2018، أعلن زكربرغ أن مؤسسته علمت في 2015 بحصول «كامبريدج أناليتيكا» على معلومات مستخدميها بشكل غير سليم. لكن ما الذي فعله فيسبوك كرد فعل وقتها؟
منع فيسبوك تطبيقات «كامبريدج أناليتيكا»، وطلب منهم مسح البيانات المسروقة، لكنه لم يتخذ أي إجراءات قانونية، بل تكتَّم على الأمر ولم يشارك المعلومات التي لديه مع الصحافة بعد كشف ما حدث.
حتى مع الخطوات التي اتخذها، بإقحام أعضاء فريق الأمان الرقمي في كل مراحل تطوير المنتجات والخصائص الجديدة، فمن الصعب التعامل بثقة في ما يتعلق بخصوصية البيانات على فيسبوك، وهو المنصة التي تجمع بيانات الأشخاص الذين لا يستخدمونها حتى، في سلسلة متشابكة من الأكواد تكاد تحول الإنترنت إلى مصيدة معلومات تصب كلها في خوادم فيسبوك.
معدل سرعة التجارب على فيسبوك، الذي كان يتفاخر به مارك زكربرغ في 2013، أسلوب قد يكون محبذًا في إدارة بعض التطبيقات والمواقع، لكن منصته المحملة ببيانات 2.2 مليار مستخدم ربما لا تتمكن من إصلاح أخطاء التجارب مثلما كان يدَّعي.