به گزارش گرداب، یک هکر کلاهسفید (هکر اخلاقی) بلژیکی اعلام کرده که یک نقص امنیتی جدی در فیسبوک کشف کرده که به مهاجمان امکان میدهد به شماره تلفن شخصی کاربران دسترسی پیدا کنند. او به رسانههای بلژیک اعلام کرده که اگر فیسبوک به ادعای وی توجه کند و نقص امنیتی که وی گزارش کرده را وصله نکند، جزئیات آن را بهطور علنی اعلام خواهد کرد.
Inti De Ceukelaire، جوان بیست و یک ساله بلژیکی، یک توسعهدهنده خلاق است که علاوه بر اشتغال در صداوسیمای عمومی بلژیک، به عنوان یک کلاهسفید و باگگیر (شکارچی جوایز اهدا شده به کاشفان باگ) نیز فعالیت میکند. او از شانزده سالگی در حال کشف و گزارش کردن آسیبپذیریهای امنیتی بوده و از سال 2013 با فیسبوک در این زمینه همکاری کرده است. همکاری او با سکوی باگگیری هکروان (HackerOne) که با برندهای متعدد و صاحبنام در صنعت فناوری همکاری میکند، به کشف 137 آسیبپذیری از سوی او منتهی شده است.
این هکر بلژیکی متوجه شده است که اگر کاربر فیسبوک به کشوری با جمعیت کم (یازده میلیون یا کمتر) نظیر بلژیک تعلق داشته باشد، کشوری که در آن شماره تلفن ثابت 12 رقم یا کمتر است، ظرف مدت سی تا چهل و پنج دقیقه میتوان شماره تلفن متصل به حساب فیسبوک افراد را به دست آورد.
او کشف خود را با به دست آوردن شماره تلفن شخصیتها و سیاستمداران بلندپایه بلژیک ثابت کرد اما زمانی که این باگ را به فیسبوک اطلاع داد، فیسبوک ظاهرا آن را چندان جدی نگرفت. این عدم توجه، او را نگران کرد و باعث شد به سراغ رسانههای بلژیک رفته و با مصاحبه رادیویی تلویزیونی با برخی شخصیتهایی که شماره تلفنشان لو رفته بود، عموم مردم را در جریان بگذارد. او در تلاش برای آگاه ساختن جامعه، وعده داده که در تاریخ 13 فوریه، جزئیات این آسیبپذیری را در وبلاگ خود منتشر سازد و امیدوار است فیسبوک مسئله را جدی بگیرد.
او که تاکنون 15 هزار دلار از طریق جوایز فیسبوک به کاشفان باگ، به دست آورده است در مصاحبه با آیبیتایمز انگلیس گفته است: «من از سال 2013 با فیسبوک در گزارش باگ همکاری میکنم؛ گاهی گزارشهایم پذیرفته شده و گاهی خیر. پذیرفته نشدن گزارشها برایم اهمیتی ندارد و اکثر اوقات آنها دلیل خوبی برای عدم پذیرش ارائه میکنند اما این بار استدلالشان منطقی نیست. توجیه فیسبوک این است که بلژیکیها میتوانند از طریق تنظیم گزینه «چه کسی میتواند مرا ببیند؟» بر روی «دوستان»، از شماره تلفن خود محافظت کنند اما تنظیم پیشفرض این است که همه میتوانند شماره تلفن را ببینند. استدلال من هم این است که این که شما در چه کشوری زندگی میکند اهمیتی ندارد، هر کسی باید قادر به مخفی کردن شماره تلفنش باشد. فیسبوک باید به طرز مناسبی از شماره تلفن کاربران محافظت کند.»
موضوع این است که فیسبوک کاربران را مجبور میکند برای استفاده از خدمات، شماره تلفن همراه خود را به پروفایل فیسبوک خود متصل کنند؛ بنابراین اگر مایل نباشید که این شبکه اجتماعی شماره تلفن همراه شما را بداند، امکان آپلود تصاویر از طریق دستگاه موبایل را از دست خواهید داد.
De Ceukelaire میگوید که اگرچه به دست آوردن شماره تلفن کاربران امریکایی یا انگلیسی با استفاده از اکسپلویتی که او کشف کرده، بسیار دشوار است، اما غیرممکن نیست – فقط بیشتر طول میکشد. این وقتگیر بودن ممکن است هکرها را دور نگه دارد اما مردمی که در یکی از 118 کشور با جمعیت کمتر از بلژیک زندگی میکنند در معرض خطر لو رفتن شماره تلفن ثبت شده در فیسبوک قرار دارند.
De Ceukelaire میگوید: «مسئله من شخصی نیست و احترام زیادی برای گروه امنیتی فیسبوک قائلم – اگر فیسبوک این باگی را نپذیرد، شما آزادید که درباره آن بر روی وبلاگ اطلاعرسانی کنید. به نظر من، تنظیمات استاندارد حریم خصوصی برای حفاظت از شماره تلفن باید گزینه «فقط من» باشد که بین گزینههای فیسبوک نیست. من شخصیتهای بلژیکی زیادی را بررسی کردهام که هفتاد درصد آنها شماره تلفنهای خود را به حساب کاربری خود متصل کردهاند. هر چه کشور کوچکتر باشد، شماره تلفنها سریعتر به دست میآید. من سوئد را امتحان کردم؛ به دست آوردن شماره تلفن کاربران سوئد از کاربران بلژیکی هم سریعتر اتفاق میافتد.»
فیسبوک به آیبیتایمز انگلیس اعلام کرده است که با وجود تصدیق آسیبپذیری گزارش شده توسط De Ceukelaire، این امکان دور از انتظار نیست که اگر حساب کاربری را بهگونهای تنظیم کنیم که یک شماره تلفن را به یک حساب کاربری خاص مرتبط سازد، کاربران بتوانند شماره تلفن کاربر را مشاهده کنند. فیسبوک اعلام کرده که برای مقابله با سوءاستفادههای احتمالی، از حدود نرخ استفاده میکند و به اصلاح حدود نرخ اعمال شده در این قابلیت میاندیشد.
De Ceukelaire، پیش از این، در سال 2016 فاش کرده بود که وجود یک نقص امنیتی در فیسبوک به افراد اجازه میدهد به لینکهایی که در گفتگوهای پیامرسان فیسبوک به اشتراک گذاشته شده، دسترسی یابند.
