شهد عام 2018 بدء الحكومات والشركات والمؤسسات في تنفيذ اللائحة العامة لحماية البيانات GDPR ليس في دول الاتحاد الأوربي فقط ولكن في جميع أنحاء العالم، وعلى الرغم من ذلك وحتى مع مطالبة كبرى شركات التكنولوجيا بحماية معززة للبيانات، فقد حدثت أخطاء كبيرة على مدار العام نتج عن الكثير منها اختراقات وتسريبات كارثية لبيانات المستخدمين المهمة.
لماذا تحمل البيانات مثل هذه الأهمية؟
أولاً يجب أن نعلم أن البيانات قد أصبحت العملة الحالية للأنشطة التجارية، وهذا لا يشمل فقط بيانات العملاء أو المستخدمين بل يشمل أيضًا البيانات المتعلقة بالعمليات، والمعاملات المالية وأي شيء يتعلق بكيفية عمل الشركة، ومع تطور تقنيات إنترنت الأشياء أصبح ذلك يتضمن أجهزة الاستشعار وبيانات الأجهزة.
تُعد البيانات شيئًا مهمًا في إستراتيجية تحليلات الشركات وأحد العوامل أساسية في عمليات صنع القرار، وفي الآونة الأخيرة أصبحت البيانات مهمة أيضًا في إستراتيجية الاتصالات والتسويق، حيث يقوم المعلنين والمسوقين باستخدام بيانات مجمعة – وأحيانًا شخصية – للمستخدمين لاستهدافهم بالإعلانات.
الجانب السلبي لهذا هو أنه مع تزايد الشركات ومقدمي الخدمات لأنشطة جمع البيانات الخاصة بالمستخدمين، أصبح هناك خطر تعرض مثل هذه البيانات للاستخدام غير المرغوب فيه.
سنستعرض اليوم بعض الأمثلة البارزة عن الأخطاء الأمنية التي تعرضت لها كبرى شركات التكنولوجيا خلال عام 2018، والضرر الفعلي أو المحتمل الذي سببته للمستخدمين:
1- فيسبوك
خلال الفترة من شهر سبتمبر 2017 إلى شهر يوليو 2018، كان مستخدمو فيسبوك ضحية لمخطط جمع بيانات ضخم، حيث تمكن المهاجمون من الوصول إلى بيانات ما يصل إلى 29 مليون مستخدم، وتمكنوا من الدخول إلى مليون حساب إضافي. وشملت هذه البيانات التي تم الوصول إليها بيانات حساسة للغاية، بما في ذلك تواريخ الميلاد، والتعليم والديانة وبيانات الموقع الجغرافي وبيانات الاتصال والحالة الاجتماعية وعمليات البحث الأخيرة والأجهزة المستخدمة لتسجيل الدخول.
كان القراصنة قادرين على استغلال نقاط الضعف في كود فيسبوك Facebook’s code للحصول على رموز الوصول access tokens – وهي مفاتيح رقمية تمنحك حق الوصول الكامل إلى حسابات المستخدمين – ثم قاموا بتصفية بيانات المستخدمين.
لم ينته الأمر مع فيسبوك خلال عام 2018 إلى هنا، حيث كان متورطًا في مشكلة أكبر عندما تم الإعلان عن فضيحة كامبريدج أناليتيكا التي حدثت عن طريق تطبيق تنبؤ شخصي يُسمى Thisisyourdigitallife، والذي تم تطويره بواسطة أستاذ بجامعة كامبريدج كان لديه حق الوصول إلى بيانات المستخدمين وباعها لشركة أبحاث خارجية وهي شركة تحليل البيانات كامبريدج أناليتيكا التي استخدمتها لتشكيل استراتيجية الحملة الانتخابية للرئيس دونالد ترامب خلال انتخابات عام 2016، عن طريق إنشاء إعلانات مستهدفة باستخدام ملايين من بيانات الناخبين.
ومنذ ذلك الحين أجرى فيسبوك العديد من التغييرات على الطريقة التي تصل بها تطبيقات الطرف الثالث إلى بيانات مستخدميه لتجنب تكرار ذلك.
2- موقع ريديت Reddit، تطبيقات Tinder، وPinterest، وAmazon Music وغيرهم
في عصر يمكن فيه الوصول إلى الشبكات الاجتماعية وخدمات التجارة الإلكترونية ومواقع الخدمات المصرفية وأي شيء تقريبًا عن طريق الهاتف، يمكن أن تكون الاختراقات الأمنية مدمرة خاصة إذا كانت هناك سرقة للبيانات أو الهوية أو الأموال.
في عام 2018 تم اكتشاف ثغرة أمنية واسعة النطاق وهي Cross Site Scripting أو ما تُعرف باسم XSS أثرت على الخدمات الاجتماعية، وخدمات التجارة الإلكترونية، وغيرها من الخدمات الأخرى التابعة لكبرى شركات التكنولوجيا حيث أثرت هذه الثغرة على بيانات 685 مليون مستخدم في جميع أنحاء العالم.
تُعد ثغرة XSS مدخلًا لأشهر الهجمات التي تتعرض لها مواقع الويب وتستهدف زوار هذه المواقع، ويتم ذلك عن طريق إدخال القراصنة شفرة تابعة لجهة خارجية في الموقع والتي من خلالها يتمكنوا من الوصول إلى أجهزة المستخدمين أو سرقة بيانات المستخدم من خلال الخداع.
موضوعات ذات صلة بما تقرأ الآن:
لم تصب هذه الثغرة المواقع المذكورة بشكل مباشر وإنما أصابت خدمة تابعة لجهة خارجية تعمل على تحسين تجربة المستخدم لمستخدمي الهواتف، وبالإضافة إلى تلك المواقع المذكورة أعلاه فقد أصيبت مواقع أخرى مثل ويسترن يونيون، وتيكت ماستر Ticketmaster، وYelp وShopify وImgur وغيرها. وقد تم التعامل مع المشكلة منذ ذلك الحين مما جعل المستخدمين في مأمن من ثغرة XSS.
3- اختراق جوجل بلس +Google
لا تحظى خدمة جوجل بلس + Google الاجتماعية بنفس الشعبية التي يحظى بها محرك البحث أو نظام التشغيل أندرويد اللذان تملكهما شركة جوجل، وكان ذلك هذا أمرًا جيدًا خلال عام 2018 خصوصًا بعد المشاكل الأمنية الأخيرة التي تم اكتشافها بخدمة جوجل بلس.
في الفترة بين شهر مارس/آذار حتى شهر نوفمبر/تشرين الثاني من عام 2018 كان هناك خللًا برمجيًا دام لسنوات في جوجل بلس مما تسبب في كشف الأسماء وعناوين البريد الإلكتروني وغيرها من البيانات الخاصة لما لا يقل عن 500 ألف مستخدم، وفقًا لما أوردته صحيفة وول ستريت جورنال.
وفي يوم 10 ديسمبر الماضي اكتشفت شركة جوجل بنفسها خرق البيانات الثاني الذي أثر على أكثر من 52 مليون مستخدم، ومنذ ذلك الحين قررت جوجل إغلاق + Google للأبد في أبريل/نيسان 2019 بدلًا من أغسطس/آب 2019، أي قبل أربعة أشهر من الموعد المخطط له.
4- قاعدة بيانات الهوية الحكومية الهندية أدهار Aadhaar
أدهار Aadhaar ليست إحدى شركات التكنولوجيا وإنما هي قاعدة بيانات الهوية الحكومية الهندية التي يتم تخزين هوية المواطنين والمعلومات البيومترية الخاصة بهم عليها، مما يعني أن اختراقها قد أثر على بيانات جميع سكان البلاد البالغ عددهم 1.1 مليار نسمة، وهذا هو أكبر اختراق أمني حدث خلال عام 2018 بناء على عدد المستخدمين المتأثرين.
البيانات التي تم الوصول إليها في هذا الاختراق هي البيانات الخاصة بحوالي 1.1 مليار مواطن هندي بما في ذلك الأسماء وأرقام هوياتهم المكونة من 12 رقمًا ومعلومات حول الخدمات المتصلة مثل الحسابات المصرفية.
كانت الثغرة في نظام تديره شركة إندان Indane المملوكة للدولة، والتي لم تقم بتأمين واجهة التطبيقات البرمجية API الخاصة بها بشكل كامل، مما أدى إلى إعطاء أي شخص حق الوصول إلى معلومات Aadhar.
من غير الواضح متى تم اختراق قاعدة البيانات لأول مرة ولكن تم اكتشاف هذا الاختراق في شهر مارس 2018 أي بعد مرور تسع سنوات على إطلاق منصة آدهار في عام 2009.
5- شركة Exactis
خلال عام 2018 واجهت شركة Exactis – المتخصصة في التسويق والبيانات، ويقع مقرها في ولاية فلوريدا – تسربًا للبيانات من قاعدة بيانات تحتوي على ما يقرب من 340 مليون سجل فردي، وعلى ما يبدو فإن الشركة تعمل مع الشركات والمنصات في الوصول إلى البيانات بالسمسرة.
تم اكتشاف هذا الاختراق بواسطة باحث أمني عندما وجد حوالي 2 تيرابايت من البيانات على خادم غير مؤمن يمكن الوصول إليه بسهولة، واشتملت هذا التسريب على البيانات الشخصية والخاصة لكل من الأفراد والشركات.
وعلى الرغم من أن البيانات التي تم تسريبها لا تتضمن أرقام الضمان الاجتماعي، إلا أنها تضمنت بيانات شخصية للغاية مثل أرقام الهواتف وعناوين المنازل وعناوين البريد الإلكتروني والاهتمامات والعادات، بالإضافة إلى عدد وأعمار وجنس الأطفال، حتى أنها تتضمن معلومات متعمقة حول الأشخاص مثل ما إذا كان الشخص مدخنًا ومالكًا للحيوانات الأليفة وما شابه ذلك. حتى لو كانت هناك احتمالية منخفضة لسرقة الهوية فإنه يمكن استخدام مثل هذه البيانات الشخصية التفصيلية لهجمات الهندسة الاجتماعية.
