خطر لو رفتن شماره تلفن کاربران فیسبوک

یک هکر کلاه‌سفید (هکر اخلاقی) بلژیکی اعلام کرده که یک نقص امنیتی جدی در فیس‌بوک کشف کرده که به مهاجمان امکان می‌دهد به شماره تلفن شخصی کاربران دسترسی پیدا کنند. به گزارش نامه نیوز، او به رسانه‌های بلژیک اعلام کرده که اگر فیس‌بوک به ادعای وی توجه کند و نقص امنیتی که وی گزارش کرده را وصله نکند، جزئیات آن را به‌طور علنی اعلام خواهد کرد. Inti De Ceukelaire، جوان بیست و یک ساله بلژیکی، یک توسعه‌دهنده خلاق است که علاوه بر اشتغال در صداوسیمای عمومی بلژیک، به عنوان یک کلاه‌سفید و باگ‌گیر (شکارچی جوایز اهدا شده به کاشفان باگ) نیز فعالیت می‌کند. او از شانزده سالگی در حال کشف و گزارش کردن آسیب‌پذیری‌های امنیتی بوده و از سال 2013 با فیس‌بوک در این زمینه همکاری کرده است. همکاری او با سکوی باگ‌گیری هکروان (HackerOne) که با برندهای متعدد و صاحب‌نام در صنعت فناوری همکاری می‌کند، به کشف 137 آسیب‌پذیری از سوی او منتهی شده است. این هکر بلژیکی متوجه شده است که اگر کاربر فیس‌بوک به کشوری با جمعیت کم (یازده میلیون یا کمتر) نظیر بلژیک تعلق داشته باشد، کشوری که در آن شماره تلفن ثابت 12 رقم یا کمتر است، ظرف مدت سی تا چهل و پنج دقیقه می‌توان شماره تلفن متصل به حساب فیس‌بوک افراد را به دست آورد. او کشف خود را با به دست آوردن شماره تلفن شخصیت‌ها و سیاستمداران بلندپایه بلژیک ثابت کرد اما زمانی که این باگ را به فیس‌بوک اطلاع داد، فیس‌بوک ظاهرا آن را چندان جدی نگرفت. این عدم توجه، او را نگران کرد و باعث شد به سراغ رسانه‌های بلژیک رفته و با مصاحبه رادیویی تلویزیونی با برخی شخصیت‌هایی که شماره تلفنشان لو رفته بود، عموم مردم را در جریان بگذارد. او در تلاش برای آگاه ساختن جامعه، وعده داده که در تاریخ 13 فوریه، جزئیات این آسیب‌پذیری را در وبلاگ خود منتشر سازد و امیدوار است فیس‌بوک مسئله را جدی بگیرد. او که تاکنون 15 هزار دلار از طریق جوایز فیس‌بوک به کاشفان باگ، به دست آورده است در مصاحبه با آی‌بی‌تایمز انگلیس گفته است: «من از سال 2013 با فیس‌بوک در گزارش باگ همکاری می‌کنم؛ گاهی گزارش‌هایم پذیرفته شده و گاهی خیر. پذیرفته نشدن گزارش‌ها برایم اهمیتی ندارد و اکثر اوقات آنها دلیل خوبی برای عدم پذیرش ارائه می‌کنند اما این بار استدلالشان منطقی نیست. توجیه فیس‌بوک این است که بلژیکی‌ها می‌توانند از طریق تنظیم گزینه «چه کسی می‌تواند مرا ببیند؟» بر روی «دوستان»، از شماره تلفن خود محافظت کنند اما تنظیم پیش‌فرض این است که همه می‌توانند شماره تلفن را ببینند. استدلال من هم این است که این که شما در چه کشوری زندگی می‌کند اهمیتی ندارد، هر کسی باید قادر به مخفی کردن شماره تلفنش باشد. فیس‌بوک باید به طرز مناسبی از شماره تلفن کاربران محافظت کند.» موضوع این است که فیس‌بوک کاربران را مجبور می‌کند برای استفاده از خدمات، شماره تلفن همراه خود را به پروفایل فیس‌بوک خود متصل کنند؛ بنابراین اگر مایل نباشید که این شبکه اجتماعی شماره تلفن همراه شما را بداند، امکان آپلود تصاویر از طریق دستگاه موبایل را از دست خواهید داد. De Ceukelaire می‌گوید که اگرچه به دست آوردن شماره تلفن کاربران امریکایی یا انگلیسی با استفاده از اکسپلویتی که او کشف کرده، بسیار دشوار است، اما غیرممکن نیست - فقط بیشتر طول می‌کشد. این وقت‌گیر بودن ممکن است هکرها را دور نگه دارد اما مردمی که در یکی از 118 کشور با جمعیت کمتر از بلژیک زندگی می‌کنند در معرض خطر لو رفتن شماره تلفن ثبت شده در فیس‌بوک قرار دارند. De Ceukelaire می‌گوید: «مسئله من شخصی نیست و احترام زیادی برای گروه امنیتی فیس‌بوک قائلم - اگر فیس‌بوک این باگی را نپذیرد، شما آزادید که درباره آن بر روی وبلاگ اطلاع‌رسانی کنید. به نظر من، تنظیمات استاندارد حریم خصوصی برای حفاظت از شماره تلفن باید گزینه «فقط من» باشد که بین گزینه‌های فیس‌بوک نیست. من شخصیت‌های بلژیکی زیادی را بررسی کرده‌ام که هفتاد درصد آنها شماره تلفن‌های خود را به حساب کاربری خود متصل کرده‌اند. هر چه کشور کوچک‌تر باشد، شماره تلفن‌ها سریع‌تر به دست می‌آید. من سوئد را امتحان کردم؛ به دست آوردن شماره تلفن کاربران سوئد از کاربران بلژیکی هم سریع‌تر اتفاق می‌افتد.» فیس‌بوک به آی‌بی‌تایمز انگلیس اعلام کرده است که با وجود تصدیق آسیب‌پذیری گزارش شده توسط De Ceukelaire، این امکان دور از انتظار نیست که اگر حساب کاربری را به‌گونه‌ای تنظیم کنیم که یک شماره تلفن را به یک حساب کاربری خاص مرتبط سازد، کاربران بتوانند شماره تلفن کاربر را مشاهده کنند. فیس‌بوک اعلام کرده که برای مقابله با سوءاستفاده‌های احتمالی، از حدود نرخ استفاده می‌کند و به اصلاح حدود نرخ اعمال شده در این قابلیت می‌اندیشد. De Ceukelaire، پیش از این، در سال 2016 فاش کرده بود که وجود یک نقص امنیتی در فیس‌بوک به افراد اجازه می‌دهد به لینک‌هایی که در گفتگوهای پیام‌رسان فیس‌بوک به اشتراک گذاشته شده، دسترسی یابند.