Jannah Theme License is not validated, Go to the theme options page to validate the license, You need a single license for each domain name.
اخبار الشرق الأوسط

تسريبات "جريفي أناليتكس": الوجه المظلم للإنترنت

صورة محمد السواح محمد السواحآخر تحديث: فبراير 10, 2025
0

أصدرت لجنة التجارة الفيدراليّة الأمريكيّة FTC مؤخّرًا أوامر نهائيّة ضدّ شركة وساطة وسمسرة البيانات "جريفي أناليتيكس" Gravy Analytics. ويأتي إعلان لجنة التجارة الفيدراليّة في أعقاب سلسلة من الإجراءات الّتي اتّخذتها اللجنة بشأن جمع وبيع بيانات الموقع الجغرافيّ من شركات وسيطة.

وجاء الأمر في بداية الشهر الماضي، بعد إعلان مجموعة قرصنة اختراق قاعدة بيانات جريفيّ أناليتيكس والوصول إلى بيانات تخصّ مراقبة الشركة لمواقع المستخدمين من خلال تطبيقات متاحة على متجر التطبيقات الخاصّ بشركة آبل وجوجل، وأُعْلِن عن عمليّة الاختراق في 7 كانون الثاني/يناير.

وينصّ قرار اللجنة الفيدراليّة على منع جريفي أناليتيكس من بيع بيانات الموقع الجغرافيّ الخاصّة بمستخدمي "آلاف التطبيقات"، الّتي تستخدم بشكل يوميّ، إلى جهات حكوميّة وخاصّة على حدّ سواء، دون إذن وموافقة المستخدمين. وتعدّ جريفي أناليتيكس الشركة الأمّ لشركة "فينتيل" Venntel الّتي باعت سابقًا بيانات سرّيّة تتعلّق بمواقع المستخدمين لعدّة جهات حكوميّة أميركيّة مثل المباحث الفيدراليّة FBI.

وتتمّ عمليّة جمع المعلومات من قبل الشركة للخروج باستنتاجات تعتمد على الموقع الجغرافيّ. الاستنتاجات بدورها تستخدم لتصنيف المستخدمين في شرائح ومجموعات حسب الظروف الطبّيّة والأنشطة السياسيّة والمعتقدات الدينيّة. مثلًا، إذا زار الشخص صيدليّة أو مشفى خلال أزمة كوفيد 19، أو زار تجمّعًا سياسيًّا خاصًّا بحزب سياسيّ معيّن أو زيارة مسجد أو كنيسة ما، فيُصَنَّف المستخدم حسب نشاطه.

وزعمت الشكوى المقدّمة ضدّ الشركة أنّ جريفي أناليتيكس استخدمت المواقع الجغرافيّة للمستخدمين لإنشاء "حدود جغرافيّة افتراضيّة لتحديد هويّة المستهلكين الّذين زاروا مواقع حسّاسة معيّنة"، ثمّ قامت بعد ذلك بتصنيف هؤلاء المستهلكين إلى شرائح من الجمهور بناء على الخصائص الحسّاسة المستنتجة من زياراتهم، مثل الحالات الطبّيّة والتوجّه الجنسيّ والأنشطة السياسيّة والمعتقدات الدينيّة. ومن ثمّ يمكن لعملاء الشركة استخدام هذه الشرائح لتقديم إعلانات تستهدف المستخدمين بشكل خاصّ حسب المجموعات والتصنيفات.

ويجبر الأمر النهائيّ من اللجنة الفيدراليّة أن تتوقّف شركة جريفي، والشركات التابعة لها، عن بيع أو الكشف عن/أو استخدام بيانات الموقع الحسّاسة في غضون 90 يومًا من تاريخ سريان الأمر، ما لم تكن الشركات لديها علاقة مباشرة مع المستهلك فيما يتعلّق ببيانات الموقع الحسّاسة، أو حصلت على موافقة المستهلك لاستخدام بيانات الموقع فقط لتوفير خدمة يطلبها المستهلك مباشرة.

وتواجه شركات جريفي أناليتيكس وفينتيل و "يونا كاست" Unacast حاليًّا دعوى قضائيّة جماعيّة في ولاية نيوجيرسي لتهم تتعلّق بفشلها في تأمين وحماية بيانات موقع المستهلك الحسّاسة بالقدر الكافي على إثر الاختراق الأخير.

وتعمل جريفي أناليتيكس كالعديد من شركات سمسرة البيانات. تأتي شركات وساطة وسمسرة البيانات بأشكال وأحجام مختلفة، ولكنّ العامل المشترك بينها أنّها تجمع بيانات تعريف شخصيّة من مصادر مختلفة، سواء كانت من البيانات المتاحة للجميع إلى البيانات المسروقة، ثمّ تبيع تلك البيانات إلى المشتري الّذي يدفع أعلى سعر.

وكشف الاختراق عن عمل الشركة على جمع المعلومات من آلاف التطبيقات، بدون علم مطوّري تلك التطبيقات، عبر عمليّات المزايدة بشكل مباشر والّتي تعتمد فيه قيمة الإعلان على الموقع الجغرافيّ للمستخدم أو المستخدمين المستهدفين.

وتضمّ القائمة تطبيقات شهيرة مثل لعبة "كاندي كرش" Candy Crush ولعبة "سب واي سيرفر" Subway Surfers بالإضافة إلى تطبيق المواعدة الأشهر عالميًّا "تندر" Tinder وتطبيقات الصحّة واللياقة مثل "ماي فيتنس بال" MyfitnessPal ومنصّة التواصل الاجتماعيّ "تمبلر" Tumblr وتطبيقات الأديان مثل "مسلم برو" Muslimpro وتطبيقات الكتاب المقدّس المسيحيّة وتطبيق مراقبة الملاحة ورحلات الطيران "فلايت رادار 24" Flightradar24.

وقالت شركة الأمن السيبرانيّ "ريسك بيسد سكروتني" Risk Based Security إنّ أكثر من 22 مليار سجلّ تمّ اختراقه والكشف عنه في العام 2022 وحده، منها هجوم "سولار ويندز" SolarWinds الّذي اخترق الكثير من الوكالات الحكوميّة الأميركيّة.

ويعدّ العام 2016 من أكثر السنوات الّتي شهدت اختراقات لشركات لسرقة معلومات المستخدمين لتصبح من أكبر تجلّيات الجانب المظلم للتكنلوجيا. ويعدّ المميّز في تلك السنة هو عدد الاختراقات لسرقة معلومات بطاقات الائتمان. بالطبع، الأحوال لم تبق حالها، وتحسّنت حماية البيانات عبر الزمن.

وحسب مركز سرقة الهويّة الأميركيّ IRTC، انخفضت عدد خروقات البيانات في الولايات المتّحدة في عام 2020 إلى 1108 حالة، وهو انخفاض كبير بنسبة 19٪ عن عام 2019 الّذي شهد 1473 حالة خرق للبيانات. كما تأثّر عدد أقلّ بكثير من الأشخاص يقدّر بحوالي 300 مليون شخص، وهو انخفاض بنسبة 66٪ عن العام السابق.

ولكن، قبل أن تبدأ الأرقام بالانخفاض في تلك الوتيرة المرتفعة، شهد العالم حالات اختراق كبيرة أثّرت على ملايين البشر. ويعدّ اختراق شركة الائتمان "إكويفاكس" Equifax من أكبر الحالات الحديثة لشركات خاصّة، إذ أدّى الاختراق إلى تسريب البيانات الشخصيّة الخاصّة بملايين العملاء بما في ذلك تفاصيل بطاقات الائتمان.

وبدأ الاختراق حسب التحقيقات في شهر آذار/مارس 2017، وبين شهري أيّار/مايو وتمّوز/يوليو، حيث تمكّن المخترقون من الحصول على معلومات أكثر من 147 مليون مواطن أميركيّ إضافة إلى ملايين المواطنين البريطانيّين والكنديّين. وتمّ تسريب معلومات البطاقات الائتمانيّة مثل رقم البطاقة لأكثر من 200 ألف بطاقة.

وكشفت الشركة عن الخرق لاحقًا في شهر أيلول/سبتمبر. وتمّ الاختراق عن طريق ثغرة في تطبيق الويب الخاصّ بالشركة استغلّه المخترقون، وتمكّنوا بالفعل من الوصول لبيانات المستخدمين لمدّة تجاوزت شهرين. واشتملت المعلومات على أرقام الضمان الاجتماعيّ وأرقام بطاقات الائتمان والعناوين وتواريخ الميلاد.

وحسب "بلومبيرج بزنس ويك" Bloomberg Businessweek يعتقد المحقّقون أنّ الاختراق الأوّل تمّ بواسطة قراصنة "مبتدئين استخدموا أدوات اختراق متاحة بسهولة تمّ تحديثها للاستفادة من الثغرة، والّتي بقيت لأيّام قليلة في نظام إكويفاكس. وبسبب عدم معرفة المبتدئين بقيمة الشركة قاموا ببيع اختراقهم لمخترقين مهرة استخدموا لاحقًا مجموعة متنوّعة من التقنيّات المرتبطة بمجموعات قراصنة صينين للوصول إلى البيانات.

وأدّى الكشف عن الاختراق إلى غضب واسع في وقتها، وتضرّرت سمعة الشركة بشكل كبير، وهي من أكبر الشركات الّتي تعمل على إعداد التقارير الائتمانيّة. انتهى الأمر بمجموعة من الدعاوى القضائيّة والغرامات التنظيميّة وتسويات ماليّة وصلت إلى 700 مليون دولار، واستقالة عدد من الإداريّين والتنفيذيّين بما في ذلك الرئيس التنفيذيّ واستثمار الشركة لاحقًا مبلغ 1.4 مليار دولار لحماية بياناتها.

أمّا على مستوى الحكومات، فيعدّ اختراق مكتب إدارة الموظّفين الأميركيّ في العام 2015 أحد أكبر الخروقات في العقد الأخير لوكالات حكوميّة. تمكّن المخترقون من الوصول إلى بيانات فحص شديدة السرّيّة تستخدم في الموافقات الأمنيّة الموجودة في سجلّات الموظّفين الفيدراليّين.

وبالرّغم من عدم توجيه أيّة تهم رسميّة في ذلك الوقت، أشارت التحقيقات إلى مجموعات صينيّة تزعم الحكومة الأميركيّة أنّها مدعومة من الحكومة الصينيّة. ويشير خبراء الأمن السيبرانيّ أنّ البيانات الّتي تمّ تسريبها استخدمت لغايات التجسّس على الحكومة الفيدراليّة. وعلى إثر العمليّة تمّ تشريع قوانين أكثر صرامة فيما يخصّ الأمن السيبرانيّ اشتملت على تدابير أمنية شديدة واستثمار في البنى التحتيّة السيبرانيّة وقوانين حماية البيانات

أمّا على المستوى الشخصيّ، فتعدّ تسريبات 2014 الّتي تتعلّق بعدد من المشاهير في هوليود من أكبر الفضائح على المستوى الشخصيّ. حدث تسريب "سيليب جيت" CelebGate في آب/أغسطس 2014 عندما استفاق العالم على مئات الصور ومقاطع الفيديو الخاصّة والحميميّة لعدد من مشاهير التلفزيون والسينما في الولايات المتّحدة.

واستخدم المخترقون تقنيّات "التصيّد" Phishing للحصول على بيانات الدخول والرقم السرّيّ لموقع التخزين السحابيّ الخاصّ بـ"آبل آي كلاود" iCloud. وعند نجاحهم تمكّنوا من الوصول إلى عدد من الصور ومقاطع الفيديو الشخصيّة المخزّنة على الموقع، وتمّ تحميل الصور لعامّة المستخدمين على مواقع مثل 4chan و Reddit.

المصدر: عرب 48

صورة محمد السواح محمد السواحآخر تحديث: فبراير 10, 2025
0
عرض التعليقات

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *