نقص جدید در فیس‌بوک، عکس‌های 6.8 میلیون کاربر را در اختیار برنامه‌های شخص ثالث قرار داد. - مرکز پژوهشی آپا

یک خطای برنامه‌نویسی در وب‌سایت فیس‌بوک به‌طور تصادفی به ۱۵۰۰ برنامه شخص ثالث دسترسی به عکس‌های فیس‌بوک هنوز ارسال نشده‌ی بیش از ۶٫۸ میلیون کاربر این شبکه اجتماعی را داد.

فیس‌بوک در تاریخ ۱۴ دسامبر ۲۰۱۸ بی‌سروصدا اعلام کرد [۱] که یک اشکال جدید API در سیستم اشتراک‌گذاری عکس‌های خود کشف کرده است که اجازه می‌دهد ۸۷۶ توسعه‌دهنده به عکس‌های شخصی کاربران که هرگز در جدول زمانی خود به اشتراک نگذاشته‌اند، ازجمله تصاویر آپلود شده در Marketplace یا Stories فیس‌بوک دسترسی داشته باشند.

فیس‌بوک دراین‌باره گفت: “هنگامی‌که کسی به یک برنامه برای دسترسی به عکس‌های خود در فیس‌بوک اجازه می‌دهد، ما معمولاً دسترسی به عکس‌ها را فقط برای عکس‌هایی که کاربران در جدول زمانی خود به اشتراک گذاشته اند، به آن برنامه‌ها اعطا می‌کنیم. در این مورد، این نقص به‌طور بالقوه به توسعه‌دهندگان دسترسی به عکس‌های دیگر را نیز داده است، مانند عکس‌های به اشتراک گذاشته‌شده در Marketplace یا Stories فیس‌بوک.”

چه چیزی بدتر است؟ این نقص حتی به توسعه‌دهندگان، دسترسی به عکس‌هایی را که افراد در فیس‌بوک آپلود کرده‌اند، اما تصمیم گرفتند آن‌ها را ارسال نکنند یا به دلایلی پست نکردند نیز را داده است.

این خطا اطلاعات خصوصی کاربران را به مدت ۱۲ روز بین ۱۳ سپتامبر و ۲۵ سپتامبر ۲۰۱۸ در معرض دید قرار داده است تا زمانی که فیس‌بوک در ۲۵ سپتامبر آن را شناسایی و برطرف کرده است.

فیس‌بوک دراین‌باره گفت: “در حال حاضر ما اعتقاد داریم این نقص ممکن است روی ۶٫۸ میلیون کاربر و تا ۱۵۰۰ برنامه ساخته‌شده توسط ۸۷۶ توسعه‌دهنده تأثیر داشته باشد. تنها برنامه‌هایی تحت تأثیر این نقص قرار داشتند که فیس‌بوک برای دسترسی به API عکس‌ها به آن‌ها اجازه داده بود و کاربران نیز اجازه دسترسی به عکس‌های خود را به آن برنامه‌ها داده بودند.”

این غول رسانه‌های اجتماعی به کاربران آسیب‌دیده توسط این نقص از طریق یک هشدار در جدول زمان‌بندی فیس‌بوک که ممکن است عکس‌های آن‌ها در معرض افشا قرارگرفته باشد، آن‌ها را مطلع کرده است و آن‌ها را به صفحه مرکز اطلاع‌رسانی منتقل می‌کند تا اطلاعات بیشتری در این مورد کسب کنند.

فیس‌بوک همچنین می‌گوید که این شبکه اجتماعی به‌زودی “ابزاری برای توسعه‌دهندگان برنامه‌ها ارائه می‌دهد که به آن‌ها اجازه می‌دهد تا تعیین کنند که کدام‌یک از افرادی که از برنامه آن‌ها استفاده می‌کنند ممکن است توسط این نقص تحت تأثیر قرارگرفته باشند.”

فیس‌بوک همچنین به کاربران خود این اطمینان را می‌دهد که این شرکت با توسعه‌دهندگان برنامه‌ها کار می‌کند تا نسخه‌هایی از عکس‌هایی را که آن‌ها نباید به آن‌ها دسترسی می‌داشتند، حذف کنند.

سال ۲۰۱۸ برای فیس‌بوک سال بسیار وحشتناکی بوده است؛ این غول رسانه‌های اجتماعی در سال جاری با تعداد زیادی حادثه امنیتی روبرو شده است؛ مهم‌ترین آن‌ها رسوایی تحلیلی کمبریج است که اطلاعات شخصی ۸۷ میلیون کاربر فیس‌بوک را افشا کرده بود [۲].

این شبکه اجتماعی همچنین در ماه سپتامبر سال ۲۰۱۸ در معرض خطر بدترین نقص امنیتی قرار گرفت که اطلاعات بسیار حساس ۱۴ میلیون کاربر را افشا کرد [۳].

در همان ماه، فیس‌بوک همچنین خطایی مشابه خطای API را که به‌طور فعال توسط هکرهای ناشناخته برای سرقت tokenهای دسترسی مخفی [۴] و جمع‌آوری اطلاعات شخصی برای ۳۰ میلیون کاربر فیس‌بوک مورد بهره‌برداری قرارگرفته بود را برطرف کرد [۵].

در ماه ژوئن ۲۰۱۸، فیس‌بوک همچنین یک مسئله امنیتی دیگر را موردبررسی قرار داد که ۱۴ میلیون کاربر آن را تحت تأثیر قرار داده بود، که پست‌های کاربرانی که به‌طور خصوصی ارسال‌ شده بودند، به‌صورت پست‌های عمومی در اختیار کاربران قرار گرفت [۶ ].

این حوادث امنیتی ناشی از شکست این غول رسانه‌های اجتماعی در حفظ اطلاعات شخصی بیش از ۲٫۲ میلیارد کاربر خود است [۷] درحالی‌که برای محافظت از همین اطلاعات میلیاردها دلار درآمد کسب می‌کند.

منابع

[۱]https://developers.facebook.com/blog/post/2018/12/14/notifying-our-developer-ecosystem-about-a-photo-api-bug

[۲] https://thehackernews.com/2018/03/facebook-cambridge-analytica.html

[۳] https://thehackernews.com/2018/10/hack-facebook-account.html

[۴] https://thehackernews.com/2018/09/facebook-account-hack.html

[۵] https://apa.aut.ac.ir/?p=5690

[۶] https://thehackernews.com/2018/06/facebook-privacy-setting.html

[۷] https://thehackernews.com/2018/03/facebook-android-data.html

[۸] https://thehackernews.com/2018/12/google-plus-hacking.html