بداية شهر نيسان/أبريل الحالي، سُربت بيانات أكثر من 533 مليون حساب فيسبوك، وأصبحت متاحة للعلن، هي ليست المرة الأولى التي يوضع فيها فيسبوك في هذا الموقف، إذ لا ننسى حين تمّت مساءلة مارك زوكربيرغ أمام الكونجرس الأمريكي لمدة خمس ساعات، على خلفية فضيحة كامبريدج أناليتيكا، وبالإمكان اختصار موقف فايسبوك بكلمات زوكربيرغ التالية:

"كان ذلك خطأً كبيراً... كان خطأ كبيراً وأنا آسف... لقد أسستُ فيسبوك وأديرها وأنا مسؤول عمّا يحصل هنا"، لكن الملفت في عملية التسريب العلني هذه (عدا عن الرقم الكبير! أكثر من نصف مليار) هو أن التسريب حصل بعد أكثر من 18 شهر من الحصول على هذه البيانات، الأمر الذي سنعود له لاحقاً في النهاية.

بداية شهر نيسان/أبريل الحالي، سُربت بيانات أكثر من 533 مليون حساب فيسبوك، وأصبحت متاحة للعلن، وهي ليست المرة الأولى التي يوضع فيها فيسبوك في هذا الموقف

كيف تم الحصول على هذا الكم من البيانات؟

عام 2019، تم استغلال ثغرة في فيسبوك، ومن خلالها تم الحصول على هذه البيانات. لاحقاً، قام فيسبوك بـسدّ الثغرة.

ما هي طبيعة البيانات التي تم تسريبها؟

لم تُسرّبْ كلمات سر الحسابات، لكن أصبح التالي مباحاً للعلن:

الاسم الكامل/ رقم الهاتف/ عنوان البريد الإلكتروني/ الحالة الاجتماعية/ الجنس/ العمل/ الدولة/ المدينة/ رقم الحساب/ رابط الحساب.

التسريب شمل 106 دولة حول العالم، أي ملايين الحسابات. 

هل تسريب هذه البيانات يُعدّ أمراً خطيراً؟ أو هل يمكن أن يؤدي إلى تَبِعات سلبية أو سيئة؟لسوء الحظ نعم!

هل تسريب هذه البيانات يُعدّ أمراً خطيراً؟ أو هل يمكن أن يؤدي إلى تَبِعات سلبية أو سيئة؟

لسوء الحظ نعم!

عدا عن أن نشر مثل هذه البيانات الخاصة والشخصية بشكل علني انتهاك لخصوصية المستخدمات والمستخدمين، بالإمكان أيضاً استخدام هذه البيانات بعمليات تصيّد واستهداف خطيرة، خاصة عند استخدامها في "عمليات الهندسة الاجتماعية "SOCIAL ENGINEERING"، التي نقرأ في "سلامتك" أنها "في سياق أمن المعلومات والأمن الرقمي... فن استخدام الحنكة والحذاقة من قبل المهاجم، لخداع الضحية بحيث تقوم بشكل إرادي وطوعي بكشف معلومات سريّة، أو بإعطاء المهاجم الفرصة للوصول للمعلومات السرية. أو بحيث تقوم الضحية بالقيام بأمر لم تكن لتقوم به لولا الوقوع ضحية لخدعة المهاجم".

هل سيكون هناك تَبِعات على شركة فيسبوك بسبب هذا التسريب؟

نظرياً، هناك تبعات قانونية، خاصة مع وجود "النظام الأوروبي العام لحماية البيانات GDPR"، فقائمة التسريب تحتوي 24 من أصل 27 دولة يشملها قانون GDPR، من ناحية ثانية، لا نتوقع حدوث ردة فعل مساوية لتلك التي حصلت لفيسبوك على خلفية فضيحة "كامبريدج أناليتيكا" ﻷن الأخيرة كان لها تأثير مباشر على أحداث غيّرت مصير دول بأكملها، كحالة استفتاء خروج بريطانيا من الاتحاد الأوروبي Brexit، بالإضافة إلى التلاعب بالانتخابات الرئاسية الأمريكية عام 2016، وانتخابات الكونغرس ومجلس الشيوخ الأمريكي عام 2014.

كيف يمكننا التحقق من وجود بياناتنا ضمن التسريب الذي حصل؟

قبل الحديث عن كيفية التحقق من وجود بياناتنا ضمن التسريبات الأخيرة لفيسبوك، نشير إلى أن هذا التسريب ليس الأول لفيسبوك، وبالتأكيد ليس الأول على مستوى تطبيقات ومواقع الإنترنت، فقد حصل عدد كبير جداً من حالات الاختراق وتم تسريب بيانات لمليارات الحسابات، منها التسريب الذي حصل لحسابات موقع "أدوبي-Adobe" عام 2013، إذ تم تسريب بيانات أكثر من 150 مليون حساب.

تضمنت (عنوان البريد الإلكتروني للحساب/ اسم الحساب/ كلمة السر) بناءً على هذا التسريب، قام "تروي هانت- Troy Hunt" وهو مطوّر ومستشار في أمن منصات الإنترنت، بإنشاء موقع "Have I Been Pwned" وجعله كمنصة أو قاعدة بيانات تضم بيانات مسربة تم نشرها على الإنترنت، إذ يحتوي الموقع حالياً بيانات أكثر من 500 موقع سُربت بياناته، بالإضافة إلى أكثر من 11 مليار حساب تعرضت بياناتها للتسريب

كيف يمكننا استخدام Have I Been Pwned للتحقق من تسريب بياناتنا؟

من خلال الصفحة الرئيسية للموقع المذكور أدناه، نقوم بإدخال عنوان البريد الإلكتروني الخاص بنا أو رقم الهاتف "بالصيغة الدولية"، ثم الضغط على زر "pwned"

ستظهر لنا واحدة من النتائج التالية:

1- "Good news - no pwnage found"

والتي تعني أنه لا يوجد تسريب بيانات مرتبطة بعنوان البريد الإلكتروني أو رقم الهاتف، ضمن قاعدة بيانات الموقع.

2- "Oh no — pwned"

والتي تعني أن هناك تسريب بيانات مرتبط بعنوان البريد الإلكتروني أو رقم الهاتف.

كما يظهر لنا عدد التسريبات التي حصلت، في المثال التالي، تشير عبارة "Pwned in 1 data breach and found no pastes"، إلى أنه هناك تسريب واحد مرتبط بعنوان البريد الإلكتروني المستخدم.

ما الذي يجب فعله عند وجود تسريب مرتبط بأحد حساباتنا؟

أسفل نتيجة الفحص يقوم الموقع بعرض التطبيقات أو المواقع التي تعرضت للاختراق أو التي حصل منها التسريب، كما في الصورة التالية:

كما يقوم الموقع بذكر تفاصيل حول التسريب الذي حصل مثل تاريخ التسريب بالإضافة إلى المعلومات التي تضمنها التسريب، مثل: عنوان البريد الإلكتروني، رقم الهاتف، كلمة السر، العنوان، بيانات البطاقة البنكية، العمل، تاريخ الميلاد وغيرها من المعلومات...

يمكننا بعد معرفة المعلومات التي تم تسريبها تقدير المخاطر التي ربما تنتج عن معرفة أو نشر هذه المعلومات، كما يجب القيام فوراً بتغيير كلمة السر الخاصة بالحساب الذي تعرضت بياناته للتسريب، كما يُفضل تغيير البريد الإلكتروني المستخدم في الحساب الذي تعرض للتسريب. بالإضافة إلى ذلك، يجب تفعيل ميزة "المصادقة الثنائية- 2Factor authentication" التي تسمى أيضاً التحقق بخطوتين 2Step verification، وهي طبقة حماية إضافية للحسابات لحمايتها من الاختراق. عادة، يتم تفعيل التحقق بخطوتين أو المصادقة الثنائية من داخل صفحة الأمان وتغيير كلمة السر للحساب.

من ناحية أخرى، في حال كانت كلمة السر المستخدمة في الحساب الذي تعرض للتسريب هي كلمة سر مشتركة مع حساب آخر، يجب على الفور تغيير كلمة السر لجميع الحسابات التي تستخدم ذات كلمة السر أو كلمة سر شبيهة بها ، الرابط هنا، يحتوي نصائح حول كيفية إنشاء كلمة سر جيدة أو آمنة، كما يحتوي شرحاً عن برامج وتطبيقات "إدارة كلمات السر - Passwords manager"، بالإضافة إلى نصائح أُخرى حول كلمات السر.

هل عدم ظهور تسريبات مرتبطة بعنوان البريد الإلكتروني ورقم الهاتف يعني أنه لم يتم اختراق أي موقع/ تطبيق مرتبط بالبريد الإلكتروني أو رقم الهاتف ولا يوجد أي تسريب خاص بهم؟

الجواب: لا!

عدم وجود تسريبات في موقع Have I Been Pwned يعني أن الموقع لا يحتوي بيانات مسربة مرتبطة بالحساب، لكن لا يعني بالضرورة أنه لا يوجد أي عملية تسريب مرتبطة بالبريد الإلكتروني أو رقم الهاتف. والسبب، لا يمكن أن نعرف جميع عمليات الاختراق التي تحصل أو تسريبات بيانات الحسابات التي تعرضت للهجوم أو الافتضاح.

من المهم جداً الحذر والتماس الحيطة من عمليات التصيّد والاختراق التي ربما نتعرض لها، فبعض الأفراد والمجموعات تلجأ إلى "الهندسة الاجتماعية- SOCIAL ENGINEERING" للإيقاع بالضحايا باستخدام البيانات التي تم تسريبها وجمعها عن الأشخاص

بداية المادة، ذكرنا أن واحدة من الأشياء الملفتة في عملية التسريب العلني لبيانات حسابات فيسبوك هذه هي أن نشر البيانات المسربة حصل بعد أكثر من 18 شهر على التسريب، أي خلال عام 2019، لكن لم يتم نشر هذه البيانات بشكل علني لغاية نيسان/ أبريل 2021، الملف للانتباه أنه عام 2020 تم عرض البيانات للبيع في أحد المنتديات مقابل 30,000$، أي من الممكن في الوقت الحالي أن يكون هناك مئات عمليات الاختراق الكبيرة الحاصلة دون أن نعلم بها ودون أن يتم نشرها بشكل علني، لذلك:

من المهم جداً الحذر والتماس الحيطة من عمليات التصيّد والاختراق التي ربما نتعرض لها، فبعض الأفراد والمجموعات تلجأ إلى "الهندسة الاجتماعية- SOCIAL ENGINEERING" للإيقاع بالضحايا باستخدام البيانات التي تم تسريبها وجمعها عن الأشخاص. لذلك، يجب الانتباه من جميع أنواع الرسائل التي تصلكم: رسائل بريد إلكتروني، رسائل نصية SMS، ماسنجر، واتس أب، إنستاغرام، تلغرام، وأية رسائل أُخرى، خاصة إن كانت تحتوي على روابط Links أو التي تصلكم من أشخاص أو جهات لم يسبق لكم التواصل معها أو الرسائل التي تصلكم بدون سياق منطقي.

يتيح موقع Have I Been Pwned إمكانية الاشتراك بشكل مجاني، حيث يقوم الموقع بإرسال تنبيه عند حدوث تسريب مرتبط بنا.