أصلحت منصة فيسبوك ثغرة جديدة أتاحت لأي موقع ويب سحب معلومات من الملف الشخصي للمستخدم، بما في ذلك الإعجابات والاهتمامات، دون معرفة المستخدم، وذلك من خلال الوصول غير المصرح به إلى واجهة برمجة تطبيقات الشركة، وكان رون ماساس Ron Masas، الباحث الأمني من شركة إمبيرفا Imperva، قد توصل إلى هذه النتائج بعد أن اكتشف أن نتائج البحث على فيسبوك لم تكن محمية بشكل صحيح من هجمات CSRF، وبعبارة أخرى، يمكن لموقع الويب الحصول بشكل سري على أجزاء معينة من البيانات من ملف المستخدم الشخصي على فيسبوك الذي تم تسجيل الدخول إليه من خلال علامة تبويب أخرى.
ونشر الباحث مقطع فيديو لإثبات المفهوم، وأظهر كيف يمكن لموقع ويب تضمين إطار مضمن IFRAME، المستخدم غالبًا لإدراج محتوى من مصدر آخر ضمن صفحة الويب، لجمع معلومات الملف الشخصي بشكل سري، وقال رون ماساس: “هذا يسمح للمعلومات بالعبور عبر النطاقات، وهذا يعني أنه إذا قام مستخدم بزيارة موقع ويب معين، يمكن للمهاجم فتح فيسبوك، ويمكنه جمع معلومات حول المستخدم وأصدقائه”.
وقد يقوم موقع الويب الخبيث بفتح عدة استعلامات بحث على فيسبوك ضمن علامة تبويب جديدة، وتشغيل الاستعلامات التي يمكن أن ترجع ردود “نعم” أو “لا” مثل إذا كان مستخدم فيسبوك يحب صفحة معينة على سبيل المثال، وقال الباحث الأمني إن طلبات البحث قد تعيد نتائج أكثر تعقيدًا مثل توفير جميع أصدقاء المستخدم الذين يحملون اسم معين ومشاركات المستخدم المتضمنة كلمات رئيسية معينة.
موضوعات ذات صلة بما تقرأ الآن:
كما يمكنها توفير المزيد من النتائج ذات الخصائص الديمغرافية الشخصية مثل جميع أصدقاء الشخص من دين معين في مدينة معينة، وقال رون: “يعرض الخطأ اهتمامات المستخدم واهتمامات أصدقائه، حتى لو تم ضبط إعدادات الخصوصية الخاصة به بحيث تظهر اهتماماته لأصدقائه فقط”، وبحسب الباحث فإن هذه المشكلة لا تعتبر محصورة بفيسبوك وليست مشكلة خاصة بالمنصة.
ويشير رون إلى أن هجمات الهندسية الاجتماعية الأكثر تطورًا قد تصبح أكثر شيوعًا في عام 2019، وبالنظر إلى نوعية البيانات المتاحة فإنها سوف تكون جذابًا لشركات الإعلانات، وكانت شركة Imperva قد كشفت عن الخطأ بشكل خاص في شهر مايو/أيار، ليقوم موقع فيسبوك بعد أيام بتصحيح الخطأ من خلال إضافة حماية ضد CSRF ودفع 8000 دولار لمكتشف الخطأ من خلال برنامج فيسبوك للمكافآت مقابل المساعدة في حماية المنصة.
وأشارت فيسبوك إلى أنها أصلحت المشكلة في صفحة البحث ولم تلاحظ أي إساءة، وقالت مارغريتا زولوتوفا Margarita Zolotova، المتحدثة باسم الشركة: “نحن نقدر جهود وتقرير الباحث الأمني، وبالنظر إلى أن هذا السلوك الأساسي ليس خاصًا بفيسبوك، فقد قدمنا توصيات إلى صانعي المتصفحات ومجموعات معايير الويب ذات الصلة لتشجيعهم على اتخاذ خطوات لمنع حدوث هذا النوع من المشكلات في تطبيقات الويب الأخرى”.
