بكل وقاحة، هكر أخلاقي يخترق فيسبوك بالقوة العمياء

الحديث عن مدى مصداقية و نزاهة شركات الإتصالات و تقنية المعلومات من الأحاديث التي يكثُر حولها اللغط هذه الأيام.

وكما قيل لا يُوجد دخان من غير نار، فقد حدث أن تم إختراق بيانات بعض هذه الشركات التي يدور حولها الحديث في المدينة و لم تكن النتيجة سارة لعملاء هذه الشركات.

و لأكون أكثر تخصيصاً فإنني في هذه التدوينة مثلما قرأتَ في العنوان فإنني أتحدث عن شركة فيسبوك بعدما صُدمتُ بدون دهشة.

شركة فيسبوك كما تعلم هي شركةٌ كبيرةٌ، ليس هذا فقط، بل من أكبر الشركات في مجال التقنية و المعلومات و التواصل الإجتماعي.

فيسبوك بما توفره من خدمة تواصل إجتماعي أدمنتها البشرية و أصبح هذا الإدمان يصل إلى مراحل يوصف فيها بالمرض و تُوصف له الأدوية إحتلّت مكانة لا غنى عنها في حياة البشر.

فيسبوك، و بعد كُل هذه المقدمة التعريفية الجميلة، كما قُلت لك صدمتني دون دهشة.

ما الجديد؟ ثغرة بدائية في فيسبوك!

قرأت في تدوينة للقرصان الأخلاقي قركيرات كيف أنّهُ إستطاع إيجاد وسيلة لإختراق حسابات مستخدمي فيسبوك.

بل لأكون أكثر دقة إستطاع إيجاد طريقة للتحكم في حسابات مستخدمي فيسبوك بصورة كاملة بوسيلة من أبسط وسائل الإختراق!

قبل أن ننتقل إلى الجزء الخاص بكيف قام قركيرات بإثبات إمكانية الإختراق هذه، سوف أخبرك لماذا صدمني هذا الخبر دون دهشة.

أولاً، الدهشة لم تكن من نصيبي لأن الثقة العمياء في أي شيءٍ تقني و إن كان مطوره شخصي لأستخدمه بنفسي ليست منطقية أبداً، و بالتالي لا أثق في أي تقنية كانت ثقةً عمياء و أتوقعُ كُل شيء.

أما الصدمة، فلأن فيسبوك شركة كبيرة و من أساطين التقنية في العالم وخدماتها التي تقدمها مؤثرة و مهمة، فكيف يحدث أن تسقط في إختبار القوة العمياء.

ولأكون صادقاً، فإن الوقوع في مثل هكذا خطأ قد يحدث، ولكن كما قال قركيرات في مدونته فإنه بعد أن أبلغ فيسبوك بهذه الثغرة فإن فيسبوك لم تعبأ به كثيراً و طالبت بأدلة على زعمه!

أطلق لخيالك العنان ما الذي كان من الممكن أن يحدث إذا لم يثبت لهم قركيرات هذه الثغرة،، يجب أن نكون ممتنين لقركيرات الآن.

كيف اكتشف الهكر قركيرات الثغرة في فيسبوك ببساطة

هل تعلم ما الذي ستفعله إذا نسيت كلمة المرور في فيسبوك؟

بكل بساطة ستطلب استرجاع كلمة المرور لترسل لك فيسبوك 6 أرقام عشوائية لتدخلها في صفحة إسترجاع كلمة المرور فيسمح لك الموقع بإعداد كلمة مرور جديدة.

هذه الأرقام الـ 6 تعني أنها توفر مليون إحتمالية للأرقام (من 000,000 إلى 999,999)، ففكر الهكر قركيرات في فكرة خارج الصندوق ذكية جداً و بسيطة.

فكر قركيرات ما الذي من الممكن أن يحدث إذا طلب مليون مستخدم لفيسبوك إسترجاع كلمة المرور في وقت قريب و لم يستخدم أياً منهم رقمه، ثم حدث أن طلب المستخدم رقم 1,000,001 (مليون وواحد) إسترجاع كلمة المرور.

هنا لا بد أن يحدث تكرار في رقم التحقق العشوائي لإعادة ضبط كلمة المرور لحساب فيسبوك، هذه هو بيت القصيد.

أبلغ الهكر قركيرات فيسبوك بهذه المشكلة و طالبوه بأن يُثبت ذلك، فاستقطع من وقته و ماله لإثبات هذا الأمر و استطاع ذلك و حصل على مكافاة أيضاً.

و هنا للدهشة… المكافأة ليست مجزية.

حتى يثبت الهكر الأخلاقي قركيرات هذا الإختراق إستخدم محرك بحث فيسبوك open graph في الحصول على الرقم المعرف لحسابات مليوني مستخدم فيسبوك، ثم أدخلها في فيسبوك للحصول على أسماء و صور أصحابها بإستخدام فيسبوك نفسه.

طبعاً جميع هذه البيانات متاحة هنا ربما تجد نفسك من ضمنهم 🙂

بعد ذلك أعد الهكر قركيرات محاكاة لطلب المستخدمين لإستعادة كلمة المرور بإستخدام لغة جافا و قام بإرسال هذه الطلبات عن طريق بروكسي يعطي كل طلب رقم بروتوكول إنترنت مختلف.

إختار الهكر قركيرات رقم تحقق عشوائي و لكنه يعتقد أن له إحتمالية إستخدام أكبر و هو 338625، بعد ذلك أعدّ  مجموعة من الأجهزة الإفتراضية لتقوم بإدخال هذا الرقم على الـ 2 مليون مستخدم الذين جمع بياناتهم مسبقاً.

بهذه الطريقة البسيطة نجح هذا الهجوم في إيجاد عدد من الحسابات التي تطلب رقم التحقق العشوائي هذا لتتيح للهكر قركيرات تغيير كلمة مرور المستخدم و الحصول على الصلاحية الكاملة على الحساب.

أعتقد أن قركيرات ذكر الرقم الدقيق في مدونته ثم حذفه،، قرأتُه قبلاً و لم يكن رقماً صغيراً.

قبل أن أنسى.. المكافأة كانت 500 دولار فقط!!!

حدّث مفاهميك و استفد مما حدث

بالتأكيد بعد أن أبلغ الهكر قركيرات عن هذه الثغرة فإن فيسبوك لا بُد أنها قد رقّعتها كما أبلغت قركيرات.

ولكن على كُل إذا كان نظام التحقق عن طريق الجوال لتسجيل الدخول إلى فيسبوك مُفعلاً فإنك لن تقع ضحية لهذه الثغرة، و إذا اردت الآن مزيداً من الأمان إذهب و فعّلها.

أما الجزء الأهم هو ما يجب أن تفعله لقناعاتك.

لا تضع ثقتك إطلاقاً في التقنية ولا مُستخدميها ولا مُديريها ولا مطوريها.. بإختصار لا تضع ثقتك في من لا يمشي على قدمين.

كتبتُ قبل عدّة أشهر تدوينة عن ما يُمكن أن تفعله فيسبوك ببياناتك أنصحك بالإطلاع عليها.

إستخدام التقنية جزء من حياتنا الآن و يجب أن نتعامل معه بحكمة، و الحكمة تقول، إستخدم التقنية في قضاء حوائجك حتى لا تقضي التقنية حوائجها عليك، أليس كذلك؟