پرونده: مدیریت ضعیف باگ‌های امنیتی: تاریخچه‌ای از نفوذ به شکاف‌های امنیتی فیسبوک و اینستاگرام

پرونده: مدیریت ضعیف باگ‌های امنیتی: تاریخچه‌ای از نفوذ به شکاف‌های امنیتی فیسبوک و اینستاگرام
تاریخ انتشار : ۳۰ دی ۱۴۰۰

امروزه عضویت در رسانه‌های اجتماعی و استفاده از حداقل یکی از آن‌ها برای افرادی که از اینترنت استفاده می‌کنند، موضوع جدیدی نیست.

به گزارش گرداب، میلیارد‌ها حساب کاربری در رسانه‌های اجتماعی مانند فیسبوک و اینستاگرام وجود دارد و افراد مرتبا به صورت روزانه و یا ساعتی از آن‌ها استفاده می‌کنند. مسأله‌ای که کاربران به آن توجه نمی‌کنند این است که مشهور یا محبوب بودن و یا بزرگ بودن یک شرکت هیچ‌وقت تضمینی برای امنیت اطلاعات موجود در آن نیست.

در طی سال‌های اخیر حملات بدافزاری یا نقض اطلاعات به دلیل باگ‌ها و مدیریت امنیتی نامناسب در این رسانه‌ها باعث شده است تا اطلاعات شخصی میلیون‌ها کاربر به دست عوامل خارجی بیفتد و افشا شود. در ادامه تاریخچه‌ای از نفوذ به شکاف‌های امنیتی فیسبوک و اینستاگرام به ترتیب سال آورده شده است که به شما یادآوری می‌کند انجام اقدامات لازم برای محافظت از حساب شخصی خودتان از اهمیت بسیاری برخوردار است.

مدیریت ضعیف باگ‌های امنیتی: تاریخچه‌ای از نفوذ به شکاف‌های امنیتی فیسبوک و اینستاگرام

تاریخچه نفوذ به شکاف‌های امنیتی فیسبوک

در طی دهه گذشته، فیسبوک درگیر چندین مورد از هک داده‌ها و رسوایی‌های بزرگ بوده است. این نفوذ به شکاف‌های امنیتی شامل حوادث نام‌برده زیر هستند:

هک شدن فیسبوک توسط MIT

اولین مورد شناخته شده از هک امنیتی فیسبوک در ماه دسامبر سال ۲۰۰۵ رخ داد که در طی آن محققان MIT (موسسه فناوری ماساچوست) اسکریپتی طراحی کردند که می‌توانست اطلاعات پست شده به صورت عمومی را دانلود کند.

در این مورد محققان سعی در اثبات این قضیه داشتند که کاربران رسانه‌های اجتماعی به دلیل به اشتراک گذاشتن بیش از حد اطلاعات خود در معرض خطر جدی فاش شدن داده‌های خود هستند. این گروه از محققان با استفاده از اسکریپت طراحی شده توانستند بدون اجازه کاربران یا پرسنل فیسبوک به داده‌های شخصی بیش از ۷۰۰۰۰ کاربر دسترسی پیدا کنند.

مدیریت ضعیف باگ‌های امنیتی: تاریخچه‌ای از نفوذ به شکاف‌های امنیتی فیسبوک و اینستاگرام

نفوذ به حساب شش میلیون کاربر

در ماه ژوئیه سال ۲۰۱۳ یک باگ امنیتی در پلتفرم فیسبوک باعث شد تا اطلاعات شخصی بیش از ۶ میلیون کاربر در اختیار افراد غیرمجاز قرار بگیرد. هکر‌ها به مدت یک سال تمام از این نقطه‌ضعف استفاده کرده بودند تا این که بالاخره مدیران اجرایی فیسبوک از قضیه مطلع شدند.

داده‌های به سرقت رفته شامل آدرس‌های ایمیل و شماره تلفن کاربران بود. بدین طریق هر هکری که مقدار کمی از داده‌های شخصی کاربران را در دست داشت، می‌توانست به تمامی داده‌های دیگر دست پیدا کند.

کمبریج آنالیتیکا

در سال ۲۰۱۴، شرکت کمبریج آنالیتیکا که تحلیل وضعیت افراد رأی‌دهنده در انتخابات را انجام می‌داد به اطلاعات شخصی بیش از ۵۰ میلیون کاربر فیسبوک، بدون اطلاع و اجازه آن‌ها دسترسی پیدا کرد.

این نفوذ به داده‌ها موجب شد تا شرکت کمبریج آنالیتیکا بتواند اطلاعات باارزشی راجع به رفتار‌های رأی‌دهندگان در آمریکا را در اختیار کمپین ترامپ قرار داده و نتیجه احتمالی انتخابات را تغییر دهد.

مدیریت ضعیف باگ‌های امنیتی: تاریخچه‌ای از نفوذ به شکاف‌های امنیتی فیسبوک و اینستاگرام

چندین رسانه خبری در سال ۲۰۱۸ به وسعت این شکاف امنیتی فیسبوک پی بردند. تا آن زمان شرکت فیسبوک بسیاری از جزییات مربوط به این حادثه را پنهان نگه داشته بود.

در طی این رویداد، شخصی به عنوان یک محقق خارجی برای دسترسی به اطلاعات کاربران با فیسبوک معامله کرده بود که طبق قوانین موجود این شرکت، اجازه چنین کاری را داشت. با این حال، این شخص داده‌ها را در اختیار کمبریج آنالیتیکا گذاشت که این شرکت هم از آن به نفع مشتری خاص خود استفاده کرد که فیسبوک اجازه این کار را نمی‌داد. حتی بعد از این که این کلاهبرداری فاش شد، شرکت کمبریج آنالیتیکا بیش‌تر اطلاعاتی که به صورت غیرقانونی دریافت کرده بود را نگه داشت.

مقامات دولتی داخلی و خارجی و دیگر افراد به شدت بابت این حادثه از فیسبوک انتقاد کردند و اظهار داشتند که مدیریت امنیتی آن‌ها واقعا افتضاح است، به نحوی که آن‌ها اطلاعات کاربران را دودستی به عوامل خارجی تحویل داده‌اند.

مارک زاکربرگ، مدیرعامل فیسبوک، در پاسخ به این انتقادات گفت که فیسبوک اطلاعات کاربران را نمی‌فروشد و قوانین مربوطه در پلتفرم قرار داده شده است.

رسوایی رمزعبور فیسبوک در سال ۲۰۱۹

در ماه مارس سال ۲۰۱۹، یکی از متخصصان امنیت سایبری متوجه شد که شرکت فیسبوک رمزعبور میلیون‌ها تن از کاربران را در فایل‌های متنی ساده ذخیره کرده و آن‌ها را در دسترس بیش از ۲۰۰۰ نفر از کارکنان شرکت قرار داده است. این خطای امنیتی به طور احتمالی صد‌ها میلیون نفر از کاربران را تحت تأثیر قرار داده است.

به طور کلی سال ۲۰۱۹ یکی از بدترین سال‌ها برای وضعیت امنیتی شرکت فیسبوک به حساب می‌آید که نفوذ به شکاف‌های آن که در ماه آوریل، سپتامبر و دسامبر این سال اتفاق افتاده بود، باعث فاش شدن اطلاعات شخصی صد‌ها میلیون نفر از کاربران شد.

مدیریت ضعیف باگ‌های امنیتی: تاریخچه‌ای از نفوذ به شکاف‌های امنیتی فیسبوک و اینستاگرام

قرار گرفتن اطلاعات فیسبوک در دارک وب

متخصصان حوزه امنیت سایبری شاهد یکی از بدترین شکاف‌های امنیتی فیسبوک در ماه دسامبر سال ۲۰۱۹ بودند. در طی این رخداد اطلاعات شخصی بیش از ۲۶۷ میلیون نفر از کاربران فیسبوک حدودا به مدت دو هفته در دارک وب قرار داده شده بود.

مدیریت ضعیف باگ‌های امنیتی: تاریخچه‌ای از نفوذ به شکاف‌های امنیتی فیسبوک و اینستاگرام

دارک وب بستر فعالیت‌های مجرمانه بی‌شماری است و این موضوع نشان‌دهنده یک اشتباه فاحش در مدیریت امنیتی شرکت فیسبوک است. همین که این خبر در رسانه‌ها منتشر شد، شرکت فیسبوک به سرعت تغییراتی در وضعیت امنیتی خود ایجاد کرد تا این مشکل را رفع کند.

شکاف امنیتی فیسبوک در ماه آوریل سال ۲۰۲۱

آن دسته از افرادی که فکر می‌کردند سال ۲۰۲۱ بدون مشکل خاصی پیش خواهد رفت، در سوم آوریل سال ۲۰۲۱ با شنیدن خبر هک گسترده فیسبوک شوکه شدند. اشتباه بخش مدیریت امنیتی فیسبوک باعث شد تا اطلاعات شخصی بیش از ۵۰۰ میلیون کاربر، شامل اسامی، تاریخ تولد، مکان جغرافیایی و شماره تلفن آن‌ها فاش شود.

فیسبوک به فاش شدن اطلاعات اعتراف کرد، ولی اعلام کرد که این مسأله از مشکل امنیتی سال ۲۰۱۹ که تیم اجرایی آن را اصلاح کرده بودند ناشی شده است. این اعلامیه چیزی از خشم تعداد زیادی از کاربران فیسبوک کم نکرد. اطلاعات به خارج منتشر شده است و خسارات آن ممکن است تا سال‌های آینده ادامه پیدا کند. ۳۰ میلیون حساب کاربری تنها در خود آمریکا تحت تأثیر این رویداد بودند.

نمی‌توان به راحتی مشخص کرد که آیا حساب کاربری شما هم جزو یکی از این حساب‌ها بوده است یا نه. طبق گفته متخصصان در صورتی که هکر‌ها اطلاعات حساب کاربری شما را به سرقت برده باشند، حدود ۲۰ درصد احتمال آن وجود دارد که هک شوید.

اما برخی از کاربران با وجود مسائل مهم امنیتی به وجود آمده، هم‌چنان از این پلتفرم استفاده می‌کنند که این موضوع بسیار جای تامل دارد!

مدیریت ضعیف باگ‌های امنیتی: تاریخچه‌ای از نفوذ به شکاف‌های امنیتی فیسبوک و اینستاگرام

تاریخچه نفوذ به شکاف‌های امنیتی اینستاگرام

با توجه به اطلاعات موجود از ماه ژانویه ۲۰۲۱ تا به امروز نقض داده‌ای در اینستاگرام صورت نگرفته است. در ادامه مطلب، تاریخچه کاملی از نقض داده‌ها در اینستاگرام به دلیل باگ‌ها و شکاف‌های امنیتی موجود در این برنامه به ترتیب سال قید شده است.

هک شدن اطلاعات تماس ۶ میلیون حساب کاربری در ماه اوت سال ۲۰۱۷

در ماه اوت سال ۲۰۱۷ خبری مبنی بر نقض داده‌های مربوط به ۶ میلیون حساب کاربری اینستاگرام منتشر شد. به دلیل باگ داشتن API توسعه اینستاگرام، می‌شد به شماره تلفن و داده‌های مربوط به ایمیل حساب‌های اینستاگرام در پلتفرم دسترسی داشت. با این که اینستاگرام به این مسأله رسیدگی کرد، اما به نظر می‌رسید که این اقدامات به موقع انجام نشده است.

هکر‌ها آدرس وب‌سایتی را منتشر کردند که در آن یک پایگاه داده قابل جست‌وجو وجود داشت که گفته می‌شود جزییات اطلاعات شخصی ارتباطی کاربران مشهور در آن قابل دسترس بوده است.

این گروه از هکر‌ها اعلام کردند که در ابتدا هدف آن‌ها حساب‌های کاربرانی با بیش از یک میلیون فالوئر بوده است و حساب‌های دیگر در اولویت بعدی قرار داشته‌اند. در نتیجه داده‌های به دست آمده شامل اطلاعات کاربران مشهور و معمولی می‌شد. هکر‌ها برای هر بار جست‌وجو در پایگاه داده‌ها مبلغی دریافت می‌کردند و در آخر تمام داده‌ها را در ازای بیت کوین فروختند.

اینستاگرام بعد از این حادثه با صاحبان حساب‌های کاربری تأیید شده تماس گرفت و آن‌ها را از نقض داده‌ها مطلع کرد.

مدیریت ضعیف باگ‌های امنیتی: تاریخچه‌ای از نفوذ به شکاف‌های امنیتی فیسبوک و اینستاگرام

هک شدن پایگاه داده‌های شخصی مربوط به ۳۵۰۰۰۰ تن از اینفلوئنسر‌ها در ماه مه سال ۲۰۱۹
در ماه مه سال ۲۰۱۹، پایگاه داده نسبتا بزرگی که توسط گروه ثالث اداره می‌شد و اطلاعات مهمی از هزاران اینفلوئنسر اینستاگرامی را در خود داشت، هک شده و اطلاعات آن در فضای مجازی منتشر شد.

این داده‌ها در یک سرور ناامن خدمات وب آمازون تحت نظارت Chtrbox قرار داشت که شرکتی بود که در ازای پست‌های اسپانسر شده به اینفلوئنسر‌ها پول پرداخت می‌کرد. این داده‌ها رمزگذاری نشده بودند و امکان دسترسی به این اطلاعات بدون داشتن رمزعبور وجود داشت.

این اطلاعات شامل اطلاعات شخصی تماس از قبیل آدرس‌های ایمیل و شماره تلفن‌های مربوط به حساب‌های کاربری و هم‌چنین داده‌های مربوط به حساب‌ها مانند تعداد فالوئر، مکان جغرافیایی و ... بودند.

این داده‌ها هم‌چنین اطلاعاتی راجع به ارزش تخمینی حساب‌های کاربری را در خود داشتند. از آن‌جا که کار این شرکت قرار دادن پست‌های اسپانسر شده در فضای مجازی بود، ارزش هر کدام از حساب‌های کاربری را بر اساس آمار بازدیدکننده‌ها، فالوئرها، نرخ بازخورد‌ها و داده‌های مشابه تخمین می‌زد و به نوعی وجهه مالی پروفایل‌ها را مشخص می‌کرد.

باید به این موضوع اشاره کرد که گزارشات اولیه مربوط به فاش شدن داده‌ها به این موضوع اشاره داشت که اطلاعات تعداد ۴۹ میلیون حساب کاربری فاش شده است. با این حال، Chtrbox این مورد را تکذیب کرد و اعلام کرد که فقط اطلاعات حدود ۳۵۰۰۰۰ نفر از اینفلوئنسر‌ها فاش شده است. تعداد اصلی و کامل حساب‌های کاربری هم‌چنان مشخص نیست.

نقض داده‌ها در سطح گسترده باعث فاش شدن اطلاعات ۲۳۵ میلیون حساب کاربری در ماه اوت سال ۲۰۲۰ شد

در ماه اوت سال ۲۰۲۰، خبر‌هایی راجع به پایگاه داده‌های ایمن‌سازی نشده حاوی ۲۳۵ میلیون پروفایل اینستاگرام، تیک‌تاک و یوتیوب منتشر شد. یک تیم تحقیقات امنیتی با انتشار اعلامیه‌ای به مدیران پایگاه داده خبر داد که اطلاعات موجود در این پایگاه در وضعیت امنی قرار ندارند و توسط هر شخصی که منبع داده‌ها را پیدا کند، قابل دسترسی و خواندن هستند.

داده‌های افشا شده مقدار زیادی اطلاعات شخصی شامل اسم کامل کاربران، جنسیت، سن و عکس پروفایل کاربران را در خود داشت. هم‌چنین تعدادی آدرس ایمیل و شماره تلفن نیز بین این اطلاعات دیده می‌شد.

این اطلاعات توسط گروه ثالثی به نام دیپ سوشال (Deep Social) جمع‌آوری شده بودند که از حساب‌های کاربری داده کسب می‌کردند. شرکت دیپ سوشال در سال ۲۰۱۸ بعد از این که فیسبوک این شرکت را از جمع‌آوری داده‌های پروفایل‌های اینستاگرامی منع کرد و آن‌ها را تهدید به شکایت کرد، فعالیتی نداشت. مدیریت این پایگاه داده در دست شرکت دیگری به نام سوشال دیتا (Social Data) بود که باعث می‌شود به این فکر بیفتیم که چه مدت این اطلاعات به صورت عمومی قابل دسترسی بوده است.

مدیریت ضعیف باگ‌های امنیتی: تاریخچه‌ای از نفوذ به شکاف‌های امنیتی فیسبوک و اینستاگرام

نقض داده‌ها در ماه ژانویه سال ۲۰۲۱ باعث افشای اطلاعات ۲۱۴ میلیون حساب کاربری رسانه‌های اجتماعی شد

در ماه ژانویه سال ۲۰۲۱، نقض داده‌ها در سوشال آرک (SocialArk) باعث افشای ۳۱۸ میلیون اطلاعات ثبت شده شد که مربوط به ۲۱۴ میلیون حساب کاربری رسانه‌های اجتماعی بود. یک پایگاه داده که به صورت اشتباه پیکربندی شده بود، باعث چنین مشکلی شد. دسترسی به این اطلاعات بدون نیاز به رمزعبور مقدور بود و داده‌های موجود در این پایگاه رمزنگاری نشده بودند. در نتیجه هر شخصی می‌توانست با وصل شدن به این پایگاه داده تمام اطلاعات موجود در آن را مشاهده کند.

این پایگاه داده حاوی اطلاعات شخصی تعداد زیادی از صاحب حساب‌های کاربری بود که شامل بیوگرافی، تعداد فالوئر‌ها و اطلاعاتی از این قبیل می‌شد. علاوه بر این شماره تلفن و آدرس ایمیل برخی از کاربران نیز در این پایگاه اطلاعاتی وجود داشت.

کار این پایگاه داده، تراش دادن اطلاعات بود؛ به این معنی که یک شرکت، نهاد و یا فرد خاصی تمام داده‌هایی که به صورت عمومی قابل دسترسی هستند را جمع‌آوری کرده و آن را به یک منبع بزرگی از اطلاعات تبدیل می‌کند.

علاوه بر جمع‌آوری داده‌های جداگانه، این دسته از افرادی که پایگاه داده‌ای برای اطلاعات تراش‌خورده می‌سازند، معمولا اطلاعات به دست آمده از چندین پلتفرم مختلف را در کنار هم قرار می‌دهند تا اطلاعات کامل‌تری راجع به نهادها، شرکت‌ها و یا افراد داشته باشند.

مدیریت ضعیف باگ‌های امنیتی: تاریخچه‌ای از نفوذ به شکاف‌های امنیتی فیسبوک و اینستاگرام

استخراج اطلاعات از وب‌سایت‌ها کاملا غیرقانونی نیست و به همین خاطر عمل شرکتی که اطلاعات را جمع‌آوری کرده است غیرقانونی تلقی نمی‌شود.

علاوه بر این، جمع‌آوری داده‌ها به عنوان هک محسوب نمی‌شود؛ زیرا تمام داده‌های جمع‌آوری شده در زمان انجام این کار در پلتفرم اصلی قابل مشاهده بوده‌اند.
با این حال، تراش دادن و جمع‌آوری اطلاعات در اغلب پلتفرم‌های رسانه‌های اجتماعی مانند اینستاگرام، فیسبوک و رسانه‌های اجتماعی محبوب دیگر نقض قوانین و شرایط محسوب می‌شود.

جمع‌بندی

شاید برنامه‌هایی وجود داشته باشند که از بیرون گود بی‌نقص و کامل به نظر برسند، اما وقتی دقیق‌تر به تاریخچه آن‌ها نگاه کنیم خواهیم دید که همواره از وجود باگ‌هایی رنج می‌برند که قربانی اصلی آن‌ها عموما کاربران هستند. این موضوع به ما ثابت می‌کند که فریب ظاهر این شرکت‌ها را نخوریم و به آسانی اطلاعات شخصی و محرمانه خود را در اختیار این شرکت‌ها قرار ندهیم.

منابع

https://firewalltimes.com/instagram-data-breach-timeline/
https://teampassword.com/blog/facebook-hacks-a-history-of-security-breaches-at-facebook
https://www.cpomagazine.com/cyber-security/instagram-breach-exposes-personal-data-of-۴۹-million-users/