فيسبوك مصر مخترق بالكامل - احمى نفسك hack your facebook egypt

سؤال وجواب حول تسريب بيانات أكتر من 500 مليون مستخدم من الفيس بوك.

ايه اللي حصل؟

واحد من الهكرز نشر بيانات 533 مليون مستخدم من مستخدمين الفيس بوك والبيانات دي بتتضمن الإسم, المدينة, رقم التلفون, الإميل وتاريخ الميلاد وغيره ولكن لا تتضمن كلمات المرور (Password) فهي بيانات شخصية كاملة. الداتا دي فيها بيانات 44 مليون شخص من #مصر

البيانات دي اتجمعت ازاي؟

الفيس بوك كان عنده API's (خلينا نسميها واجهات برمجية) قديمة سابوها شغاله فتره كبيرة علشان الناس اللي بتستخدم تلفونات قديمة تقدر برده تستخدم الفيس بوك. الواجهات البرمجية دي كانت مصابة بثغرات بتسمحلك توصل للإميل ورقم التلفون بتاع الشخص حتي لو عاملهم Only Me ودي شوفتها وجربتها بنفسي في 2014 فبتكلم عن تجربة. وتم استغلال الثغرات دي في جمع الكم ده من المعلومات.

طريقة كمان تم بيها جمع المعلومات وهي انك لما بتعمل اكاونت علي الفيس بوك فبياناتك في وضعها الافتراضي بتكون public فاي حد يقدر يشوفها إلا لو انت غيرتها بنفسك,وده كان سبب برده تم من خلاله (ولازال بيحصل) عملية ال data scraping واللي هي باختصار جمع المعلومات من صفحتك الشخصية.

هل المشكلة او الثغرة دي تم ترقيعها؟

المشكلة الأولي بتاعت الواجهات البرمجية تم ترقيعها. المشكلة التانية لم يتم ترقيعها إلي الآن. في صورة مرفقة تحت هتلاقي فيها بيانات تم تجميعها امبارح بس, من خلال عملية ال data scraping اللي اتكلمنا عنها وأصحاب الحسابات فلغالب ميعرفوش ان بياناتهم موجوده public علي حسابهم.

أعرف منين اذا بياناتي تم تسريبها من ضمن البيانات دي؟

ادخل علي الموقع هنا واكتب اميلك اللي عامل عليه الفيس بوك وشوف هل تم تسريب بايناتك من ضمن البيانات اللي اتسربت ولا لا: https://haveibeenpwned.com/

ايه اللي ممكن الهكرز يعملوه بالبيانات دي؟ وهل انا في خطر؟

الموضوع بيعتمد علي كون حد بيحاول يخترقك انت بالذات أو لا. في الطبيعي, الحجم ده من البيانات بيتم استخدامه في عمليات الدعاية والإعلان (عرفت ازاي شركات العقارات بتوصل لبياناتك؟) وبيتم فلترة البيانات دي بالمدينة والبلد الخ عشان تستخدم في الإعلانات.

كمان بيتم استخدام الباينات دي في عمليات نصب علي نطاق كبير. زي انهم بيتصلو بالناس اللي بياناتهم في التسريب ويقولولهم احنا البنك الفلاني ودي بياناتك الشخصية (عشان يطمنوك انهم البنك فعلا) وعرفنا انه كارت الفيزا بتاعك تم اختراقه فلازم تدينا بيانات كارت الفيزا عشان نتأكد انك فعلا صاحب الحساب ونأمنه. وغيرها من طرق النصب وعمليات التصيد الإلكتروني phishing

اما لو شخص معاه رقم تلفونك واميلك وتاريخ ميلادك ومستهدفك انت بشكل شخصي, فممكن يستخدم المعلومات دي في انه يحاول يعمل اعادة كلمة المرور لحسابك أو إميلك من خلال البيانات دي. ده غير طبعا انه رقم تلفونك اللي بتعتبره حاجه شخصية بقي مع ناس كتير جدا. يا راجل ده في واحد عمال من امبارح يوزع أرقام الممثلين والمغنيين علي الشعب كله :D

أعمل ايه عشان أامن نفسي بعد التسريب ده؟

1- متثقش في اي اتصال يقولك احنا البنك وعايزين بيانات الكارت بتاعك. البنك بتاعك استحااااااله يطلب بيانات الكارت ولا الباسورد ولا اي حاجة. نفس القصة علي اميلك متثقش في اي حد يبعتلك اميل يقول احنا الشركة الفلانية وعايزين الباسورد بتاعك مهما كان الاميل في بيانات شخصية عنك عشان مفيش شركة هتطلب باسوردك.

2- اميلاتك واكونتات السوشيال مييدا بتاعتك لازم تفعل فيها خاصية المقارنة الثنائية 2 factor authentication ودي بتكون من خلال تطبيق بتنزله علي تلفونك زي تطبيق DUO مثلا ولما بتيجي تسجل الدخول علي حسابك بتكتب الاميل والباسورد وكود من التطبيق ده. ده بيضمنلك انه حتي لو الهكرز وصلو للباسورد بتاعك مش هيقدرو يفتحو الاكونت. ابحث في جوجل عن تفعيل المصادقة الثنائية في الفيس بوك وهتلاقي مصادر كتير بتشرح الموضوع.

3- ادخل علي صفحتك وعدل بياناتك الشخصية عشان تكون كلها Only Me متسيبش حاجه فيها public خالص. شوف الصورة تحت شرحت فيها توصل لصفحة تعديل بياناتك ازاي.

4- لو حابب تزود السكيورتي في حسابك أكتر فادخل علي الصفحة دي وعدل الاعدادات اللي بتسمح للناس تقدر توصل لحسابك من خلال اميلك او رقم تلفونك (زي ما في الصورة تحت): https://www.facebook.com/settings?tab=privacy

وبالأخير, لو عندك اي سؤال تاني بخصوص التسريب ده نزله في التعليقات وهرد عليك ان شاء الله.