محمد عادل – خبير تقني
بيان رسمي.. من الفيسبوك
فيسبوك قال السبب الحقيقي ورا انك اتعملك Log Out انهاردة الصبح من أكونتك! 😎
ڧيسبوك قال ان فيه ثغرة في ميزة View As اللي موجودة على البروفايلات وبتخليك تقدر تشوف الناس التانية بتشوف بروفايلك ازاي، والثغرة دي بتخلي الهاكرز يقدروا انهم يسرقوا مفاتيح الكترونية Tokens بحيث انهم يقدروا يسحبوا الداتا بتاعت بروفايلك!
ببساطة، الـ Tokens دي بتاخدها الابلكيشنز اللي انت بتستخدمها من خلال اكونت بتعمله من خلال حسابك على فيسبوك، وانك بتعمل Login with Facebook عليها، ساعتها فيسبوك بيقدم توكينز تأكد انك انت اللي سمحت للأبلكيشنز دي انها تستخدم بياناتك على فيسبوك عشان تعمل اكونت على الابلكيشنز دي!
نرجع للثغرة، فيسبوك عمل 3 اجراءات عشان تحميك:
1. مسحت التوكينز بتاعت 50 مليون أكونت متضررين من الثغرة وجبرتهم يسجلوا خروج من اكونتاتهم ويدخلوا تاني
2. اجراء احتياطي عمله فيسبوك بإنه سجل خروج 40 مليون اكونت تانيين كان فيه احتمال انهم يتعرضوا لنفس المشكلة
كدا توتال 90 مليون اكونت اتسجل خروج على بروفايلاتهم وتم اجبارهم يدخلوا باسورداتهم تاني!
3. تم وقف عمل ميزة View As لفترة مؤقتة لحين حل الثغرة
💀 أصل الثغرة: فيسبوك كان عمل تحديث في طريقة عرض الفيديوهات في يوليو 2017 جوا ميزة الـ View As وده نتح عنه الثغرة دي
🔥 شير ومنشن صحابك عشان يعرفوا ويتطمنوا 😉
#عاجل: بالنسبة لحوار الاكاونتات اللى كلها خرجت من السيشن مره واحده هنا على فيسبوك من امبارح، طبقا لمجلة نيويورك تايمز فيسبوك امبارح اتعرض لاختراق كبير ودا تسبب فى ان المخترقين قدروا يوصلوا لحسابات ٥٠ مليون مستخدم، بدون الدخول فى تفاصيل تقنية كتيره فيسبوك اكتشف من خلال تحليل ال network traffic ان فى ثغره فى خاصية “view profile as” بيتم استخدامها وتم استخدامها بالفعل لوصول لل access tokens لحسابات كتيره جدا وقام فيسبوك بعمل بعض الاجراءات علشان يصلحوا المشكله دى والاجرائات اللى حصلت ادت لخروج عدد ٩٠ مليون مستخدم من جلسات عمل حساباتهم، فيسبوك بمجرد ما صلح المشكله ابلغ السلطات بال breach اللى حصل.
فيسبوك قال انه لحد دلوقتى ميعرفش هوية المخترقين ولا اصل جهة الاختراق نفسها وهما لسه بيعملوا تحقيق فى الموضوع!
Mohamed A. Baset