تمكنت شركة "فيسبوك"، من التغلب على ثغرة أمنية جديدة، تم اكتشافها مؤخراً كانت تتيح لأي موقع على الانترنت سحب معلومات من الملف الشخصي للمستخدم، بما في ذلك الإعجابات والاهتمامات دون معرفة المستخدم.
وهذه الثغرة، كانت تهدد المستخدمين الذين يتجاوز عددهم حالياً المليار شخص، موزعين حول العالم، وهو ما يعني أن جملة من هذه البيانات تسربت على الأرجح، قبل أن تتمكن الشركة من إغلاق الثغرة.
وتبين أنه كان في مقدور مواقع "الويب"، الوصول غير المصرح به إلى واجهة برمجة تطبيقات "فيسبوك".
وحسب الباحث في مجال الأمن الالكتروني في شركة "إمبيرفا"، "رون ماساس"، فقد اكتشف هذه الثغرة، بعدما اتضح أن نتائج البحث على "فيسبوك" لم تكن محمية بشكل صحيح من هجمات "CSRF"، ما يعني أنه يمكن لموقع الويب الحصول بشكل سري، على أجزاء معينة من البيانات من ملف المستخدم الشخصي على "فيسبوك"، الذي تم تسجيل الدخول إليه من خلال علامة تبويب أخرى.
ونشر الباحث في وقت سابق مقطع فيديو لإثبات الثغرة، وأظهر كيف يمكن لموقع ويب تضمين إطار "IFRAME"، المستخدم غالباً لإدراج محتوى من مصدر آخر، ضمن صفحة الويب، لجمع معلومات الملف الشخصي بشكل سري.
وقال "ماساس": "هذا يسمح للمعلومات بالعبور عبر النطاقات، وهذا يعني أنه إذا قام مستخدم بزيارة موقع ويب معين، يمكن للمهاجم فتح فيسبوك، ويمكنه جمع معلومات حول المستخدم وأصدقائه".
وأشارت "فيسبوك"، إلى أنها أصلحت المشكلة في صفحة البحث، ولم تلاحظ أي إساءة.
وقالت المتحدثة باسم "فيسبوك"، "مارغريتا زولوتوفا": "نحن نقدر جهود وتقرير الباحث الأمني، وبالنظر إلى أن هذا السلوك الأساسي ليس خاصا بفيسبوك، فقد قدمنا توصيات إلى صانعي المتصفحات ومجموعات معايير الويب ذات الصلة لتشجيعهم على اتخاذ خطوات لمنع حدوث هذا النوع من المشكلات في تطبيقات الويب الأخرى".
