نشر الباحث الأمني ستيفن سكلافاني تفاصيل مثيرة مؤخرًا عن ثغرة أمنية بالغة الخطورة في موقع "فيس بوك"، قام باكتشافها والإبلاغ عنها في وقت سابق من العام الجاري، والتي كان من شأنها وبسهولة إتاحة اختراق حساب أي مستخدم، بما في ذلك مؤسس "فيس بوك" ذاته.
وتكمن الثغرة في إحدى الواجهات البرمجية القديمة والتي هي حاليًا غير مستخدمة في "فيس بوك" Legacy REST API إذ تم استبدالها بالواجهة البرمجية GRAPH API.
وشرح ستيفن كيفية اكتشاف واستغلال الثغرة البرمجية عبر مدونته على الإنترنت، وأثبت أنه بإمكان المهاجم أن يشاهد رسائل المستخدم الشخصية على موقع "فيس بوك"، إضافة إلى مشاهدة جميع ملاحظاته والتعديل عليها وحذفها أيضًا فضلًا عن إنشاء ملاحظات جديدة، هذا إضافة إلى معرفة البريد الإلكتروني الأساسي للمستخدم حتى لو كان مخفيًا، وكافة المعلومات بما فيها كامل محتوىات حائطه ومنشوراته على حائط أصدقائه، وكتابة تعليقات باسم المستخدم أيضًا، وحذف تعليقات سابقة، ورفع صور إلى حساب الضحية الشخصي ونشر وتحديث لحالتك على حائط الـ"فيس بوك".
وأكد ستيفن أن كل ما يحتاجه المهاجم حتى يخترق حسابك هو رقم حسابك الشخصي، الذي هو متاح للجميع على الـ"فيس بوك" والذي يمكن الحصول عليه من قبل أي شخص.
والجدير بالذكر أن هذه الثغرة تمكنه من اختراق جميع حسابات المستخدمين بما فيهم مارك زوكربيرج بذاته، مؤسس موقع "فيس بوك"، إلا أن ستيفين قرر الإبلاغ عن الثغرة فور تأكده من وجودها وذلك في 23 من شهر أبريل الماضي، وفور تأكيد الثغرة من قبل الـ"فيس بوك" تم إغلاقها في أقل من ثلاث ساعات، ومكافأته بمبلغ 20 ألف دولار أميركي وإضافة اسمه إلى حائط الشرف على موقع "فيس بوك" المخصص للباحثين الأمنيين.
