امروزه عضویت در رسانههای اجتماعی و استفاده از حداقل یکی از آنها برای افرادی که از اینترنت استفاده میکنند، موضوع جدیدی نیست.
به گزارش گرداب، میلیاردها حساب کاربری در رسانههای اجتماعی مانند فیسبوک و اینستاگرام وجود دارد و افراد مرتبا به صورت روزانه و یا ساعتی از آنها استفاده میکنند. مسألهای که کاربران به آن توجه نمیکنند این است که مشهور یا محبوب بودن و یا بزرگ بودن یک شرکت هیچوقت تضمینی برای امنیت اطلاعات موجود در آن نیست.
در طی سالهای اخیر حملات بدافزاری یا نقض اطلاعات به دلیل باگها و مدیریت امنیتی نامناسب در این رسانهها باعث شده است تا اطلاعات شخصی میلیونها کاربر به دست عوامل خارجی بیفتد و افشا شود. در ادامه تاریخچهای از نفوذ به شکافهای امنیتی فیسبوک و اینستاگرام به ترتیب سال آورده شده است که به شما یادآوری میکند انجام اقدامات لازم برای محافظت از حساب شخصی خودتان از اهمیت بسیاری برخوردار است.
تاریخچه نفوذ به شکافهای امنیتی فیسبوک
در طی دهه گذشته، فیسبوک درگیر چندین مورد از هک دادهها و رسواییهای بزرگ بوده است. این نفوذ به شکافهای امنیتی شامل حوادث نامبرده زیر هستند:
هک شدن فیسبوک توسط MIT
اولین مورد شناخته شده از هک امنیتی فیسبوک در ماه دسامبر سال ۲۰۰۵ رخ داد که در طی آن محققان MIT (موسسه فناوری ماساچوست) اسکریپتی طراحی کردند که میتوانست اطلاعات پست شده به صورت عمومی را دانلود کند.
در این مورد محققان سعی در اثبات این قضیه داشتند که کاربران رسانههای اجتماعی به دلیل به اشتراک گذاشتن بیش از حد اطلاعات خود در معرض خطر جدی فاش شدن دادههای خود هستند. این گروه از محققان با استفاده از اسکریپت طراحی شده توانستند بدون اجازه کاربران یا پرسنل فیسبوک به دادههای شخصی بیش از ۷۰۰۰۰ کاربر دسترسی پیدا کنند.
نفوذ به حساب شش میلیون کاربر
در ماه ژوئیه سال ۲۰۱۳ یک باگ امنیتی در پلتفرم فیسبوک باعث شد تا اطلاعات شخصی بیش از ۶ میلیون کاربر در اختیار افراد غیرمجاز قرار بگیرد. هکرها به مدت یک سال تمام از این نقطهضعف استفاده کرده بودند تا این که بالاخره مدیران اجرایی فیسبوک از قضیه مطلع شدند.
دادههای به سرقت رفته شامل آدرسهای ایمیل و شماره تلفن کاربران بود. بدین طریق هر هکری که مقدار کمی از دادههای شخصی کاربران را در دست داشت، میتوانست به تمامی دادههای دیگر دست پیدا کند.
کمبریج آنالیتیکا
در سال ۲۰۱۴، شرکت کمبریج آنالیتیکا که تحلیل وضعیت افراد رأیدهنده در انتخابات را انجام میداد به اطلاعات شخصی بیش از ۵۰ میلیون کاربر فیسبوک، بدون اطلاع و اجازه آنها دسترسی پیدا کرد.
این نفوذ به دادهها موجب شد تا شرکت کمبریج آنالیتیکا بتواند اطلاعات باارزشی راجع به رفتارهای رأیدهندگان در آمریکا را در اختیار کمپین ترامپ قرار داده و نتیجه احتمالی انتخابات را تغییر دهد.
چندین رسانه خبری در سال ۲۰۱۸ به وسعت این شکاف امنیتی فیسبوک پی بردند. تا آن زمان شرکت فیسبوک بسیاری از جزییات مربوط به این حادثه را پنهان نگه داشته بود.
در طی این رویداد، شخصی به عنوان یک محقق خارجی برای دسترسی به اطلاعات کاربران با فیسبوک معامله کرده بود که طبق قوانین موجود این شرکت، اجازه چنین کاری را داشت. با این حال، این شخص دادهها را در اختیار کمبریج آنالیتیکا گذاشت که این شرکت هم از آن به نفع مشتری خاص خود استفاده کرد که فیسبوک اجازه این کار را نمیداد. حتی بعد از این که این کلاهبرداری فاش شد، شرکت کمبریج آنالیتیکا بیشتر اطلاعاتی که به صورت غیرقانونی دریافت کرده بود را نگه داشت.
مقامات دولتی داخلی و خارجی و دیگر افراد به شدت بابت این حادثه از فیسبوک انتقاد کردند و اظهار داشتند که مدیریت امنیتی آنها واقعا افتضاح است، به نحوی که آنها اطلاعات کاربران را دودستی به عوامل خارجی تحویل دادهاند.
مارک زاکربرگ، مدیرعامل فیسبوک، در پاسخ به این انتقادات گفت که فیسبوک اطلاعات کاربران را نمیفروشد و قوانین مربوطه در پلتفرم قرار داده شده است.
رسوایی رمزعبور فیسبوک در سال ۲۰۱۹
در ماه مارس سال ۲۰۱۹، یکی از متخصصان امنیت سایبری متوجه شد که شرکت فیسبوک رمزعبور میلیونها تن از کاربران را در فایلهای متنی ساده ذخیره کرده و آنها را در دسترس بیش از ۲۰۰۰ نفر از کارکنان شرکت قرار داده است. این خطای امنیتی به طور احتمالی صدها میلیون نفر از کاربران را تحت تأثیر قرار داده است.
به طور کلی سال ۲۰۱۹ یکی از بدترین سالها برای وضعیت امنیتی شرکت فیسبوک به حساب میآید که نفوذ به شکافهای آن که در ماه آوریل، سپتامبر و دسامبر این سال اتفاق افتاده بود، باعث فاش شدن اطلاعات شخصی صدها میلیون نفر از کاربران شد.
قرار گرفتن اطلاعات فیسبوک در دارک وب
متخصصان حوزه امنیت سایبری شاهد یکی از بدترین شکافهای امنیتی فیسبوک در ماه دسامبر سال ۲۰۱۹ بودند. در طی این رخداد اطلاعات شخصی بیش از ۲۶۷ میلیون نفر از کاربران فیسبوک حدودا به مدت دو هفته در دارک وب قرار داده شده بود.
دارک وب بستر فعالیتهای مجرمانه بیشماری است و این موضوع نشاندهنده یک اشتباه فاحش در مدیریت امنیتی شرکت فیسبوک است. همین که این خبر در رسانهها منتشر شد، شرکت فیسبوک به سرعت تغییراتی در وضعیت امنیتی خود ایجاد کرد تا این مشکل را رفع کند.
شکاف امنیتی فیسبوک در ماه آوریل سال ۲۰۲۱
آن دسته از افرادی که فکر میکردند سال ۲۰۲۱ بدون مشکل خاصی پیش خواهد رفت، در سوم آوریل سال ۲۰۲۱ با شنیدن خبر هک گسترده فیسبوک شوکه شدند. اشتباه بخش مدیریت امنیتی فیسبوک باعث شد تا اطلاعات شخصی بیش از ۵۰۰ میلیون کاربر، شامل اسامی، تاریخ تولد، مکان جغرافیایی و شماره تلفن آنها فاش شود.
فیسبوک به فاش شدن اطلاعات اعتراف کرد، ولی اعلام کرد که این مسأله از مشکل امنیتی سال ۲۰۱۹ که تیم اجرایی آن را اصلاح کرده بودند ناشی شده است. این اعلامیه چیزی از خشم تعداد زیادی از کاربران فیسبوک کم نکرد. اطلاعات به خارج منتشر شده است و خسارات آن ممکن است تا سالهای آینده ادامه پیدا کند. ۳۰ میلیون حساب کاربری تنها در خود آمریکا تحت تأثیر این رویداد بودند.
نمیتوان به راحتی مشخص کرد که آیا حساب کاربری شما هم جزو یکی از این حسابها بوده است یا نه. طبق گفته متخصصان در صورتی که هکرها اطلاعات حساب کاربری شما را به سرقت برده باشند، حدود ۲۰ درصد احتمال آن وجود دارد که هک شوید.
اما برخی از کاربران با وجود مسائل مهم امنیتی به وجود آمده، همچنان از این پلتفرم استفاده میکنند که این موضوع بسیار جای تامل دارد!
تاریخچه نفوذ به شکافهای امنیتی اینستاگرام
با توجه به اطلاعات موجود از ماه ژانویه ۲۰۲۱ تا به امروز نقض دادهای در اینستاگرام صورت نگرفته است. در ادامه مطلب، تاریخچه کاملی از نقض دادهها در اینستاگرام به دلیل باگها و شکافهای امنیتی موجود در این برنامه به ترتیب سال قید شده است.
هک شدن اطلاعات تماس ۶ میلیون حساب کاربری در ماه اوت سال ۲۰۱۷
در ماه اوت سال ۲۰۱۷ خبری مبنی بر نقض دادههای مربوط به ۶ میلیون حساب کاربری اینستاگرام منتشر شد. به دلیل باگ داشتن API توسعه اینستاگرام، میشد به شماره تلفن و دادههای مربوط به ایمیل حسابهای اینستاگرام در پلتفرم دسترسی داشت. با این که اینستاگرام به این مسأله رسیدگی کرد، اما به نظر میرسید که این اقدامات به موقع انجام نشده است.
هکرها آدرس وبسایتی را منتشر کردند که در آن یک پایگاه داده قابل جستوجو وجود داشت که گفته میشود جزییات اطلاعات شخصی ارتباطی کاربران مشهور در آن قابل دسترس بوده است.
این گروه از هکرها اعلام کردند که در ابتدا هدف آنها حسابهای کاربرانی با بیش از یک میلیون فالوئر بوده است و حسابهای دیگر در اولویت بعدی قرار داشتهاند. در نتیجه دادههای به دست آمده شامل اطلاعات کاربران مشهور و معمولی میشد. هکرها برای هر بار جستوجو در پایگاه دادهها مبلغی دریافت میکردند و در آخر تمام دادهها را در ازای بیت کوین فروختند.
اینستاگرام بعد از این حادثه با صاحبان حسابهای کاربری تأیید شده تماس گرفت و آنها را از نقض دادهها مطلع کرد.
هک شدن پایگاه دادههای شخصی مربوط به ۳۵۰۰۰۰ تن از اینفلوئنسرها در ماه مه سال ۲۰۱۹
در ماه مه سال ۲۰۱۹، پایگاه داده نسبتا بزرگی که توسط گروه ثالث اداره میشد و اطلاعات مهمی از هزاران اینفلوئنسر اینستاگرامی را در خود داشت، هک شده و اطلاعات آن در فضای مجازی منتشر شد.
این دادهها در یک سرور ناامن خدمات وب آمازون تحت نظارت Chtrbox قرار داشت که شرکتی بود که در ازای پستهای اسپانسر شده به اینفلوئنسرها پول پرداخت میکرد. این دادهها رمزگذاری نشده بودند و امکان دسترسی به این اطلاعات بدون داشتن رمزعبور وجود داشت.
این اطلاعات شامل اطلاعات شخصی تماس از قبیل آدرسهای ایمیل و شماره تلفنهای مربوط به حسابهای کاربری و همچنین دادههای مربوط به حسابها مانند تعداد فالوئر، مکان جغرافیایی و ... بودند.
این دادهها همچنین اطلاعاتی راجع به ارزش تخمینی حسابهای کاربری را در خود داشتند. از آنجا که کار این شرکت قرار دادن پستهای اسپانسر شده در فضای مجازی بود، ارزش هر کدام از حسابهای کاربری را بر اساس آمار بازدیدکنندهها، فالوئرها، نرخ بازخوردها و دادههای مشابه تخمین میزد و به نوعی وجهه مالی پروفایلها را مشخص میکرد.
باید به این موضوع اشاره کرد که گزارشات اولیه مربوط به فاش شدن دادهها به این موضوع اشاره داشت که اطلاعات تعداد ۴۹ میلیون حساب کاربری فاش شده است. با این حال، Chtrbox این مورد را تکذیب کرد و اعلام کرد که فقط اطلاعات حدود ۳۵۰۰۰۰ نفر از اینفلوئنسرها فاش شده است. تعداد اصلی و کامل حسابهای کاربری همچنان مشخص نیست.
نقض دادهها در سطح گسترده باعث فاش شدن اطلاعات ۲۳۵ میلیون حساب کاربری در ماه اوت سال ۲۰۲۰ شد
در ماه اوت سال ۲۰۲۰، خبرهایی راجع به پایگاه دادههای ایمنسازی نشده حاوی ۲۳۵ میلیون پروفایل اینستاگرام، تیکتاک و یوتیوب منتشر شد. یک تیم تحقیقات امنیتی با انتشار اعلامیهای به مدیران پایگاه داده خبر داد که اطلاعات موجود در این پایگاه در وضعیت امنی قرار ندارند و توسط هر شخصی که منبع دادهها را پیدا کند، قابل دسترسی و خواندن هستند.
دادههای افشا شده مقدار زیادی اطلاعات شخصی شامل اسم کامل کاربران، جنسیت، سن و عکس پروفایل کاربران را در خود داشت. همچنین تعدادی آدرس ایمیل و شماره تلفن نیز بین این اطلاعات دیده میشد.
این اطلاعات توسط گروه ثالثی به نام دیپ سوشال (Deep Social) جمعآوری شده بودند که از حسابهای کاربری داده کسب میکردند. شرکت دیپ سوشال در سال ۲۰۱۸ بعد از این که فیسبوک این شرکت را از جمعآوری دادههای پروفایلهای اینستاگرامی منع کرد و آنها را تهدید به شکایت کرد، فعالیتی نداشت. مدیریت این پایگاه داده در دست شرکت دیگری به نام سوشال دیتا (Social Data) بود که باعث میشود به این فکر بیفتیم که چه مدت این اطلاعات به صورت عمومی قابل دسترسی بوده است.
نقض دادهها در ماه ژانویه سال ۲۰۲۱ باعث افشای اطلاعات ۲۱۴ میلیون حساب کاربری رسانههای اجتماعی شد
در ماه ژانویه سال ۲۰۲۱، نقض دادهها در سوشال آرک (SocialArk) باعث افشای ۳۱۸ میلیون اطلاعات ثبت شده شد که مربوط به ۲۱۴ میلیون حساب کاربری رسانههای اجتماعی بود. یک پایگاه داده که به صورت اشتباه پیکربندی شده بود، باعث چنین مشکلی شد. دسترسی به این اطلاعات بدون نیاز به رمزعبور مقدور بود و دادههای موجود در این پایگاه رمزنگاری نشده بودند. در نتیجه هر شخصی میتوانست با وصل شدن به این پایگاه داده تمام اطلاعات موجود در آن را مشاهده کند.
این پایگاه داده حاوی اطلاعات شخصی تعداد زیادی از صاحب حسابهای کاربری بود که شامل بیوگرافی، تعداد فالوئرها و اطلاعاتی از این قبیل میشد. علاوه بر این شماره تلفن و آدرس ایمیل برخی از کاربران نیز در این پایگاه اطلاعاتی وجود داشت.
کار این پایگاه داده، تراش دادن اطلاعات بود؛ به این معنی که یک شرکت، نهاد و یا فرد خاصی تمام دادههایی که به صورت عمومی قابل دسترسی هستند را جمعآوری کرده و آن را به یک منبع بزرگی از اطلاعات تبدیل میکند.
علاوه بر جمعآوری دادههای جداگانه، این دسته از افرادی که پایگاه دادهای برای اطلاعات تراشخورده میسازند، معمولا اطلاعات به دست آمده از چندین پلتفرم مختلف را در کنار هم قرار میدهند تا اطلاعات کاملتری راجع به نهادها، شرکتها و یا افراد داشته باشند.
استخراج اطلاعات از وبسایتها کاملا غیرقانونی نیست و به همین خاطر عمل شرکتی که اطلاعات را جمعآوری کرده است غیرقانونی تلقی نمیشود.
علاوه بر این، جمعآوری دادهها به عنوان هک محسوب نمیشود؛ زیرا تمام دادههای جمعآوری شده در زمان انجام این کار در پلتفرم اصلی قابل مشاهده بودهاند.
با این حال، تراش دادن و جمعآوری اطلاعات در اغلب پلتفرمهای رسانههای اجتماعی مانند اینستاگرام، فیسبوک و رسانههای اجتماعی محبوب دیگر نقض قوانین و شرایط محسوب میشود.
جمعبندی
شاید برنامههایی وجود داشته باشند که از بیرون گود بینقص و کامل به نظر برسند، اما وقتی دقیقتر به تاریخچه آنها نگاه کنیم خواهیم دید که همواره از وجود باگهایی رنج میبرند که قربانی اصلی آنها عموما کاربران هستند. این موضوع به ما ثابت میکند که فریب ظاهر این شرکتها را نخوریم و به آسانی اطلاعات شخصی و محرمانه خود را در اختیار این شرکتها قرار ندهیم.
منابع
https://firewalltimes.com/instagram-data-breach-timeline/
https://teampassword.com/blog/facebook-hacks-a-history-of-security-breaches-at-facebook
https://www.cpomagazine.com/cyber-security/instagram-breach-exposes-personal-data-of-۴۹-million-users/