فيسبوك: المتسللين لم يستخدموا رموز الدخول المسروقة

قالت شركة فيسبوك إن المحققين وجدوا أن المتسللين لم يتمكنوا من الوصول إلى المواقع الأخرى التي تستخدم ميزة تسجيل الدخول عبر حساب فيسبوك Facebook Login في الهجوم الإلكتروني الكبير الذي كشفت عنه الشركة الأسبوع الماضي، وقال جاي روزين Guy Rosen، نائب رئيس إدارة المنتجات في فيسبوك والمشرف على الأمن، في بيان: “لقد قمنا بتحليل سجلاتنا الخاصة بتطبيقات الطرف الثالث المثبتة أو التي تم تسجيلها أثناء الهجوم الذي اكتشفناه الأسبوع الماضي، ولم يعثر هذا التحقيق حتى الآن على أي دليل على أن المهاجمين قد تمكنوا أو قاموا بالوصول إلى أي تطبيقات طرف ثالث باستخدام تسجيل الدخول إلى فيسبوك”.

ويأتي هذا الإعلان بعد أن كشف موقع فيسبوك الأسبوع الماضي عن أسوأ اختراق أمني على الإطلاق، قائلاً إن المتسللين غير المعروفين بعد قد استغلوا نقطة ضعف وسرقوا رموز تسجيل الدخول المميزة التي سمحت لهم بالوصول وكشف بيانات ما لا يقل عن 50 مليون حساب مستخدم على المنصة كما لو كانوا مالكي الحسابات.

وقالت فيسبوك إنها أغلثت الثغرة مساء الخميس، لكنها اضطرت إلى إجبار 90 مليون مستخدم على تسجيل الخروج من حساباتهم كتدبير وقائي، وتراجعت أسهم الشركة لليوم الثالث على التوالي، بانخفاض بنسبة 1.9 في المئة ليصل سعر السهم الواحد إلى 159.33 دولار أمريكي.

وكان روزين قد حذر في مكالمة جماعية يوم الجمعة من أن المتسللين يمكنهم أيضًا الوصول إلى مواقع وتطبيقات الطرف الثالث التي تسمح باستخدام الوصول إلى حساباتهم باستخدام تسجيلات الدخول عبر فيسبوك، وقال بعض خبراء الأمن إن الشركة ربما تكون قد رسمت سيناريو أسوأ حالًا عندما كشفت عن الهجوم يوم الجمعة لضمان الامتثال لقواعد خصوصية الاتحاد الأوروبي الجديدة الصارمة التي دخلت حيز التنفيذ في أواخر مايو/أيار.

ويفرض قانون الاتحاد الأوروبي لحماية البيانات GDPR عقوبات صارمة إذا أخفقت الشركات في اتباع القواعد التي تتضمن شرطًا يفرض عليها الإفصاح في غضون 72 ساعة من الاكتشاف، ويقول خبراء أمنيون أن هذه المدة الزمنية لا تمنح المحققين الوقت الكافي لتحديد أثر الخرق.

وقال أليكس ستاموس Alex Stamos، كبير مسؤولي أمن المعلومات الأسبق في فيسبوك، عبر تغريدة على تويتر: “إن تأثير الشرط المثير للجدل في قوانين GDPR والمتمثل بـ 72 ساعة يجبر الشركات على الإعلان عن حدوث اختراق قبل إنهاء التحقيقات بشكل كامل، والنتيجة هي أن الجميع مرتبك فيما يتعلق بالتأثير الفعلي مع ظهور الكثير من الشائعات، لتظهر بعد شهر النتائج الحقيقية في الإيداع الرسمي”.

وكان التحذير الأولي لشركة التواصل الإجتماعي من أن المهاجمين قد تمكنوا من الوصول إلى حسابات خارجية باستخدام تسجيل الدخول عبر فيسبوك مقلقاً للغاية، وذلك لأن أكثر من 42 ألف موقع يستخدمون هذه الميزة وفقاً لتقديرات الباحثين في جامعة إلينوي Illinois في شيكاغو، بما في ذلك Tinder و Spotify و Airbnb و Venmo و Instagram و Uber.

ودفعت التحذيرات بعض المواقع إلى إطلاق تحقيقاتها الخاصة وسط قلق من أن الهجوم يمكن أن يؤثر بشكل كبير على قطاع كبير من المواقع على الإنترنت، وقالت عدة مواقع، بما في ذلك موقع خدمات السفر SkyScanner الواقع مقره في المملكة المتحدة وموقع TaskRabbit التابع لمجموعة IKEA، والذي يوفر إصلاحات منزلية وتجميع الأثاث، إنها ستدرس التأثير المحتمل على عملائها، فيما قالت شركة خدمات الركوب أوبر Uber إنها قامت بإغلاق الجلسات النشطة باستخدام بيانات اعتماد تسجيل الدخول إلى فيسبوك أثناء قيامها بالتحقيق في الأمر.