بدايةً لماذا أصبحت البيانات عملة اليوم الخاصة بالشركات:
هذا لا يتضمن فقط بيانات المستخدم أو العميل ولكن أيضاً بيانات العمليات الاقتصادية، تحويل الأموال وأي شيء مرتبط بكيفية عمل الشركات ومع تألق إنترنت الأشياء، أصبح هذا يتضمن بيانات الحساسات والأجهزة الأخرى التي تصاعدت أهميتها من أجل عملية أتمتتة الشركات وزيادة معلوماتها.
فالبيانات مهمة في عملية التحليل الاستراتيجي للشركة وهذا يعني أن البيانات والأمور التقنية هي أساسية في عمليات صنع القرار.
وأيضاً أصبحت البيانات مهمة في استراتيجيات التواصل وهذا يعني أنَّ المعلنين والمسوقين يستخدمون بيانات المستخدم العامة والخاصة في بعض الأحيان لتوجيه رسائلهم. وهذا أمر جدلي حالياً وبالأخص أنَّ المستخدمين بدؤوا يشعرون بالسوء لاستخدام هذه البيانات.
والجانب السلبي هو خطورة وجود احتمال تسرب هذه البيانات التي تستخدمها الشركات من قبل هاكرز أو أخطاء تقنية في الحماية.
سوف نلخص في هذه المقالة بعض الأمثلة على الأخطاء الأمنية لبعض الشركات والتي سببت بالفعل خطر محتمل أو حقيقي للمستخدمين.
أسوء 5 أخطاء أمنية ارتكبتها شركات تقنية في عام 2018:
فيسبوك
كان مستخدموا فيسبوك منذ سبتمبر تشرين الأول 2017 حتى يوليو تموز 2018 ضحايا لفضيحة جمع بيانات ضخمة حيث استطاع المهاجمون الوصول لبيانات أكثر من 29 مليون مستخدم بالإضافة للوصول لمليون حساب.
تضمنت هذه البيانات معلومات حساسة مثل الجنس، الديانة، حالة المستخدم العاطفية، مسقط رأس المستخدم، المدن الحالية، تاريخ الميلاد، الأجهزة التي يسجل دخول عبرها، التعليم، الأماكن التي زارها، عمليات البحث الأخيرة ومعلومات الاتصال.
اعتمد الهاكرز على ثغرات في الكود الخاص بـ فيسبوك ليتمكنوا من الحصول على Access tokens وهي مفاتيح رقمية تمكنهم من الوصول لبيانات المستخدم. وقام فيسبوك منذ ذلك الحين بمعالجة الثغرة.
هذا لم يكن نهاية الأمور السيئة بالنسبة لـ فيسبوك فقد واجهت الشركة مشكلة أكبر وذلك بسبب فضيحة Cambridge Analytica عام 2018 التي ظهرت للعلن.
حيث عمل تطبيق تخمين للشخصية (قام ببنائه بروفيسور من جامعة Cambridge ) على تمرير المعلومات لشركات والمشكلة الأكبر كانت في البيانات التي وصلت لشركة تحليل هي Cambridge Analytica التي قامت باستخدام هذه البيانات في حملة الرئيس الامريكي Donald Trump من خلال توجيه الإعلانات لملايين مستخدمي فيسبوك.
قام فيسبوك بالكثير من التغييرات منذ ذلك الحين على التطبيقات العاملة على منصته والتي تقوم بمشاركة البيانات لتجنب فضيحة أخرى.
Reddit، Tinder، Pinterest، Amazon Music وغيرهم
في عصر يمكن فيه الوصول لشبكات التواصل الاجتماعي، خدمات التجارة الالكترونية، مواقع المواعدة والكثير من الأمور الأخرى فإن أي اختراق أمني قد يعود بضرر كبير جداً وخاصة إن تمت سرقت بيانات المستخدم وهويته أو ماله.
وفي عام 2018 تم اكتشاف ثغرة XSS على مستوى كبير أثرت على مواقع التواصل الاجتماعي، التجارة الالكترونية والكثير غيرهم من خدمات تقنية ويُعتقد أنها أثرت على أكثر من 685 مليون مستخدم حول العالم.
تمكن ثغرة XSS الهاكرز من حقن كود من طرف ثالث ضمن موقع شرعي يُستخدم عادة كرأس حربة للهجوم لتوصيل بيانات لأجهزة المستخدم أو سرقة بيانات المستخدم من خلال عملية Spoofing.
فعندما يقوم المستخدم بالدخول لخدمة أو موقع الكتروني، يتضمن ذلك عدة جلسات بين المستخدم والمخدم حيث يرسل ويستقبل كل منهما البيانات. وقد يتضمن ذلك استعادة بيانات من مواقع طرف ثالث وهنا تأتي وظيفة ثغرة XSS.
المشكلة المذكورة هنا لا تتضمن المواقع المذكورة سابقاً بشكل مباشر ولكن تتضمن خدمة طرف ثالث تقوم بتحسين تجربة المستخدم لمستخدمي الهواتف.
جوجل بلس
يعتبر جوجل محرك البحث الذي نلجأ له كخيار أول وهذا يشمل مليارات المستخدمين حول العالم وخصوصاً من يستخدم أجهزة أندرويد ولكن مع ذلك فإن خدمة التواصل الاجتماعي Google + ليست بنفس الشعبية وهذا ربما أمر جيد بعد الثغرة التي أكتُشفت بها مؤخراً.
من مارس آذار حتى نوفمبر تشرين الثاني عام 2018 كان هنالك خطأ برمجي في Google+ سبب في كشف بروفايلات شخصية لـ 500000 مستخدم كما ورد في صحيفة Wall Street Journal.
وقد كشفت جوجل بنفسها عن هذه الثغرة التي تعرض نتيجتها حوالي 52 مليون مستخدم لاحتمال سرقة بياناتهم.
وتضمنت البيانات المسروقة أسماء، موظفين، أسماء وظائف، عناوين بريد الكتروني، تواريخ ميلاد للمستخدمين.
وأعلنت جوجل أنها سوف تقوم بإغلاق جوجل بلس بحلول أبريل نيسان 2019 بالرغم من عدم وجود دليل على أن البيانات قد تمت سرقتها فعلاً.
Aadhaar
عملياً ليست Aadhaar شركة تقنية ولكنها عبارة عن نظام التعريف القومي الهندي وهذا يعني أن اختراق أمني لها سوف يؤثر على 1.1 مليار نسمة.
وهذا ما حصل عندما تمت سرقة الأسماء، والرقم المعرف المكون من 12 رقم وبيانات أخرى مثل معلومات الحساب البنكي.
تضمنت الثغرة تسريب بيانات من قبل خدمة مملوكة للدولة لم يتم تأمين الوصول لـ API الخاص بها. وهذا يعني أن أي شخص يمتلك الوصول لـ API يمكنه الوصول لبيانات Aadhaar المذكورة سابقاً.
ليس واضح متى بدأ هذا الاختراق ولكن تم اكتشافه في مارس آذار عام 2018 أي بعد 9 سنوات من إطلاق منصة Aadhar في عام 2009.
Exactis
تخيل تسرب بيانات كل مواطن في الولايات المتحدة من قبل مهاجم. هذا بالفعل ما حصل مع Exactis وهي شركة تسويق وجمع بيانات واجهت تسرب معلومات سبب في كشف بيانات لحوالي 340 مليون سجل.
تضمنت البيانات حوالي 2 تيرا بايت من المعلومات الشخصية والخاصة للأفراد (ملايين الأمريكيين) والشركات مثل أرقام هواتف، عنواين المنازل، عناوين بريد الكتروني، الاهتمامات والعادات، العمر، الجنس والكثير من المعلومات التفصيلية.
الخلاصة:
يجب أن ننتبه للمعلومات التي نحتفظ بها ضمن المواقع الالكترونية التي نزورها وعند طلب أي تطبيق الوصول إلى بياناتنا يجب علينا أن نكون حذرين ومن الأفضل إبعاد جميع البيانات الهامة عن أجهزة تستخدم فيها مواقع التواصل الاجتماعي أو مواقع تقنية غير موثوقة.
راجع أيضاً:
