الاختراق الذي حصل اليوم للفيسبوك تحدث عنه الكثيرين باسهاب, ولكن الكل تقريباً لم يشرح مسألة مهمة للغاية وهي Access Token, لان الاختراق فعلياً مس بهذا الشئ وفي اخر بيان فيس بوك بشأن الاختراق لم تقم بالتأكيد على الناس على اهمية تغير كلمات السر….
سأحاول في هذا المقال تبسيط الموضوع لكي يفهمة المتخصص والغير متخصص وماهي افضل الممارسات في هذا الوقت.

طبعاً لن اتكلم عن اسباب الاختراق لوجود الكثير من المنشورات بهذا الخصوص ولماذا تم هذا الاختراق, ولكن هدف هذا المنشور تبيين ابعاد الاختراق والطريقه بشكل مبسط.

ماتم من اختراق اسمه الفعلي Access Token Harvesting, لكن ماهي ال Access Token ببساطة ال Access Token هي شي مثل الكوكيز cookies تقريباً والكوكيز هذه هي عبارة عن ملفات تحوي بشكل مشفر عدة اشياء, فعندما تقوم بالتسجيل فرضاً في موقع معين يتم تكوين ملف كوكيز جديد يحوي فيه عده اشياء مثل التاريخ وكم مده صلاحية الكوكيز وايضاً بعض المعلومات المهمة والتى تسمح لك بزيارة الموقع الذي سجلت به بدون ادخال اسم المستخدم وكلمة المرور لمدة معينة تنتهي بانتهاء صلاحية ملف الكوكيز.

ماذا لو نقلت ملف الكوكي cookie الخاص بحسابك ولنفترض الفيس بوك من جهازك الى جهازي, فبمكاني باستخدام بعض التقنيات من فتح حسابك على جهازي بدون ادخال اسم مستخدم ولا كلمة المرور.

وماحدث في هجوم الفيس بوك هو شي مشابهة جداً لسرقة ملفات الكوكيز, ولكن هنا تم سرقة ال Access Token وهو شي يتم تخزينة اونلاين وفيها اشياء مشابهة مثل الكوكيز مثل تاريخ الانتهاء وتاريخ الاصدار وغيرة, لكنها ليست كملفات الكوكيز التى تنزل للجهاز, ومثال على شكل ال Access Token الصورة المرفقة في هذا البوست, وهي صورة مأخوذة من حساب في فيس بوك للمطورين, ومثل ماتلاحظون ان ال Access Token هو عبارة عن سلسلة طويلة من الارقام والحروف, وليس من السهل عمل توليد مثل هكذا سلسلة بشكل عشوائي, طبعاً لم اضع شكل ال Access Token الخاص بي في الصورة فأن تمكن شخص من اخذة فأنة يمكنه التحكم بواحدة من الصفحات الخاصة بي والتى اديرها لذلك تم اخفاء الكلمة.

على العموم في الهجوم تم عمل حصد لل Access Tokens الخاصة بالمستخدمين والذي تم تقديرهم ب ٥٠ مليون مستخدم + ٤٠ مليون مستخدم مشكوك في امرهم بانه تم تسريب بيانتهم!!
واذا ال Access Token موجود مع المخترقين فأنهم سوف يتمكننون من دخول حسابك ويسرحون ويمرحون كأنهم انت ومن غير ادخال اسم المستخدم وكلمة المرور.

طبعاً الفيس بوك قامت بعمل forced expiration لهولاء ٩٠ مليون مستخدم, حتى تتجنب قيام المخترقين بعمل الاختراق ودخول حسابات الناس, طبعاً عندما تسجل مرة اخرى في حسابك فأنة سيتم توليد Access Token جديدة لك وذلك لن يمكن المخترقين من دخول حسابك, لذلك طلبت منك فيس بوك انه ليس من الضروري تغير كلمة المرور الخاصة بك لان ذلك لن يعني شئ وسوف يتم توليد Access Token سواء غيرت كلمة المرور او لم تغيرها.

على العموم في الحالات التى مثل هذه لن يكون بمقدورك عمل اي شي حتى لو كانت كلمة المرور ٢٠٠ حرف ورمز ورقم وهاتفك مربوط بالتحقق الثنائي, لانها فعلياً مشكلة بالموقع وماعليك سوء انتظار الدعم من موقع فيس بوك, وان لا تقوم بعمل اي شي او اي اقتراحات من روابط خارجية لانه من المحتمل ان المخترقين قد يقومو بتنزيل اجراءات اضافية تجعل منك ضحية بشكل اكبر وذلك بزرع معلومات خاطئة على الانترنت.