سأل Facebook بعض المستخدمين عن بريدهم الإلكتروني كلمات السر ، لماذا لا

آسف. تكبير / آسف. Bloomberg / Get الصور

بينما يحاول المسؤولون التنفيذيون في الشركة إعادة تسمية Facebook كخصوصية الشركة ، لا تزال الشركة تكافح على ما يبدو لغرس أ ثقافة الخصوصية داخليا ومع مطوري الطرف الثالث. مثل ذكرت كيفن بولسون من ديلي بيست في 2 أبريل ، وبعضها جديد طُلب من مستخدمي Facebook تقديم عنوان بريدهم الإلكتروني وكلمة مرور البريد الإلكتروني الخاصة بهم من أجل تسجيل الحسابات.

وفي بلوق وظيفة اليوم ، والباحثين من سحابة الأمن ذكرت شركة UpGuard أنهم اكتشفوا اثنين علنا يمكن الوصول إلى ذاكرة التخزين المؤقت لبيانات مستخدم Facebook التي أنشأتها جهات خارجية التطبيقات التي تتصل بمنصة Facebook. كلا مخابئ تم استضافتها بواسطة خدمة التخزين البسيط (S3) من أ mazon Web Services في السحابة العامة AWS.

كلمة المرور ، من فضلك

تم ملاحظة ممارسة كلمة مرور البريد الإلكتروني أولاً بواسطة البرنامج المطور وخبير أمن المعلومات الذي يذهب من خلال المقبض “السوشي الإلكترونية”:

مرحبًا ،facebook ، يطالب بكلمة المرور السرية للشخصية حسابات البريد الإلكتروني للمستخدمين الخاصة بك للتحقق ، أو أي نوع آخر من الاستخدام ، هي فكرة مروعة من وجهة نظر #infosec. بالذهاب في هذا الطريق ، أنت تقوم بصيد عمليا لكلمات المرور الخاصة بك ليس من المفترض أن يعرف! pic.twitter.com/XL2JFk122l

– السوشي الإلكتروني (originalesushi) في 31 مارس 2019

تم تقديم الطلبات للمستخدمين الذين لديهم العديد من البريد الإلكتروني المستند إلى الويب خدمات الاستضافة. جوجل جوجل لم يكن بينهم ، مثل الفيسبوك استخدم بروتوكول OAuth للتحقق من حسابات Gmail — لذا تحقق مع كلمة مرور البريد الإلكتروني لم يكن مطلوبا.

رداً على The Daily Beast ، قال متحدث باسم Facebook أن كلمات مرور البريد الإلكتروني لم يتم تخزينها بواسطة Facebook. لكن معطى مشاكل Facebook السابقة في تسجيل كلمات المرور والاحتفاظ بها البيانات الشخصية الأخرى ، قد يتم استقبال هذا البيان بصحة جيدة الشكوك.

وقال المتحدث باسم الفيسبوك أيضا أن الشركة كانت تنتهي ممارسة طلب كلمات مرور البريد الإلكتروني لحسابات بريد الويب. Aأكد اختبار آرس تكنيكا اليوم أنه باستخدام حسابات البريد الإلكتروني على Mail.com وخدمات بريد الويب الأخرى ، قمنا بتسجيل الحسابات و بدلاً من ذلك حصلت على مطالبة برمز عبر البريد الإلكتروني إلى عنوان البريد الإلكتروني قدمت.

The new, improved Facebook email confirmation page.تكبير / جديد ، تحسين الفيسبوك تأكيد صفحة البريد الإلكتروني. شون غالاغر

دلاء كبيرة من كلا

تم ربط بيانات تعريض المستخدم التي أبلغت عنها UpGuard تطبيقين مختلفين على Facebook. الأول، من Cultura Colectiva – شركة إعلامية مكسيكية – كان 146 غيغابايت متجر يحتوي على أكثر من 540 مليون سجل ، بما في ذلك Facebook معرفات الحساب والأسماء وردود الفعل المرتبطة بها ، “الإعجابات” ، و تعليقات ، من بين أمور أخرى. قارن الباحثون في UpGuard نطاق المحتويات التي تم جمعها بواسطة Cambridge Analytica.

ذاكرة التخزين المؤقت الثانية ، وجدت أيضا في دلو الأمازون S3 ، كان النسخ الاحتياطي لقاعدة البيانات من “تطبيق متكامل على Facebook يسمى” في تجمع ، “” أفاد الباحثون. وشملت قاعدة البيانات العمود التسميات التي تشير إلى أن البيانات تتضمن معرفات وأسماء مستخدمي Facebook ، الأصدقاء ، الإعجابات ، الصور ، الأحداث ، المجموعات ، التحقق من الموقع ، و بيانات ملفات التعريف الأخرى ، بما في ذلك الموسيقى المفضلة والكتب والأفلام و الإهتمامات. كان هناك أيضا عمود “كلمة المرور” ، ولكن كلمات المرور كانت “من المفترض بالنسبة لتطبيق” At the Pool “بدلاً من تطبيق حساب المستخدم في الفيسبوك “، وأفاد باحثون UpGuard. ما يزال، كلمات المرور هذه يمكن أن تشكل خطرا إذا تعرضت – خاصة إذا كانت تم إعادة استخدامها عبر حسابات أخرى.

تم إيقاف جرافات S3 التي تحتوي على البيانات أو المضمون. بالنسبة لمتجر Cultura Colectiva ، استغرق الأمر تقريبًا أربعة أشهر من تاريخ الكشف الأول للمحل ليكون المضمون. لم تستجب Cultura Colectiva لرسائل البريد الإلكتروني التي تنبههم إلى البيانات المكشوفة. لم يكن حتى اليوم ، عندما كان Facebook اتصلت بشأن التعرض من قبل صحفي يسأل عن التعليق ، أن مخزن البيانات تم تأمينه. النسخ الاحتياطي لـ “عند البركة” تم أخذ التطبيق في وضع عدم الاتصال قبل أن يخطر UpGuard المطورين ؛ لم يعد التطبيق نشطًا ، والشركة التي تملكها قد توقف التطبيق عن الوجود.

كل من هذه الحالات تظهر أنه في حين وعد الفيسبوك ل الحد من قدرة المطورين على استخراج البيانات الشخصية من الخدمة في أعقاب فضيحة كامبريدج التحليلية ، هناك لا تزال الأطراف الثالثة التي لديها إمكانية الوصول إلى كميات كبيرة من Facebook البيانات. وفيسبوك ليس بالضرورة مراقبة كيفية تخزين ذلك البيانات ، على الرغم من سياسات الشركة الجديدة.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: