Facebook හි දුර්වලතාවක් නිසා ගිණුම් මිලියන 50කට වැඩි ප්රමාණයක් හැක් වෙයි
Facebook වෙබ් අඩවියට මේ වසර නම් එතරම් යහපත් එකක් වුණේ නැති බව පසුගිය මාස කිහිපය තුල සිදු වූ Cambridge Analytica සිදුවීම වැනි සිදුවීම් හරහා පැහැදිලි වෙනවා. කොහොම නමුත් මේ වන විට නැවත වතාවක් භාවිතා කරන්නන් මිලියන ගණනකගේ දත්ත මේ Facebook වෙබ් අඩවිය හරහා ලබා ගන්නට hacker වරුන් සමත් වී තිබෙනවා.
මොකක්ද වුණේ?
Facebook සමාගම සඳහන් කරන විදිහට Facebook ඉලක්ක කර එල්ල වුණ සයිබර් ප්රහාරයකින් එම වෙබ් අඩවියේ සර්වර් පරිගණක විශාල ප්රමාණයක දත්ත හැකර්වරුන් විසින් ලබාගෙන තිබෙනවා. ප්රමාණාත්මකව එය ගිණුම් මිලියන 50කට වැඩි බවයි පැවසෙන්නේ. මීට අමතරව අවධානමට ලක් වී ඇති යැයි සැක කෙරෙන තවත් ගිණුම් මිලියන 40ක් පමණ පරීක්ෂා කර බැලීමටත් ඔවුන් කටයුතු කර තිබෙනවා.
මේ හරහා සොරකම් කරලා තියන දත්ත මොනවාද?
Mark Zuckerberg ප්රකාශ කරන ආකාරයට මේ හරහා කිසිඳු ගිණුමකට hacker වරුන් පිවිසෙන ආකාරය ඔවුන් ට නිරීත්ෂණය කිරීමට නොහැකි වී තිබෙන අතර, Facebook Developer API භාවිතා කරමින් "නම, gender එක, hometown එක" වැනි සාමාන්යය දත්ත ප්රමාණයක් පිට වෙලා තිබෙන බව තමයි තවමත් දැනගන්නට ලැබෙන්නේ.
මේ හරහා leak නොවුණු දත්ත මොනවාද?
භාවිතා කරන්නන් යවන ලද පෞද්ගලික පණිවිඩ එනම් Private messages සහ Credit card පිළිබඳ දත්ත මේ හරහා පිට වී නොමැති බව දැනට Facebook සමාගම ප්රකාශ කරන නමුත්, තවමත් මේ ගැන පරීක්ෂණ සිදු කරමින් පවතින නිසා මේ තත්ත්වය වෙනස්විය හැකි වෙනවා.
කවදා ඉඳන් ද මේ attack එක සිදු වෙලා තියෙන්නේ?
මේ ප්රහාරයට හේතු වුණු දුර්වලතාවය එක එහෙමත් නැතිනම් vulnerability එක Facebook එකට එකතු කරලා තියෙන්නේ 2017 වර්ෂයේ ජුලි මාසයේ වන නමුත්, 2018 වර්ෂයේ සැප්තැම්බර් 16, එනම් මේ මාසය දක්වා ඔවුන් මේ ගැන දැන සිට නොමැති වෙනවා.
ඉතින් මේ hacker වරුන් හට දීර්ඝ කාලයක සිට login වීමේ හැකියාව තිබී ඇති අතර තවමත් Facebook සමාගමට එය කොතරම් කාලයක් දැයි නිවැරදිව පැවසීමට නොහැකි බව වාර්ථා වෙනවා.
කොහොමද hacker වරුන් මේ දත්ත ලබා ගත්තේ?
මේ සඳහා Facebook වෙබ් අඩවියේ තිබූ දුර්වලතාවයන් 3ක් භාවිතා කර ඇති බව මේ වන විට දැනගන්නට ලැබෙනවා.
2017 වර්ෂයේ Facebook එකට හඳෞන්වා දුන් video uploader එක තමයි මෙයට ප්රධාන හේතුව විදිහට හඳුනාගෙන තිබෙන්නේ.
Facebook එකේ තිබෙන "View As" පහසුකම භාවිතා කරන විට වැරදීමකින් මේ video uploader එක පෙන්වන bug එකක් තිබී තිබෙනවා.
මේ අනවශ්යය ලෙස video uploader එක දර්ශනය වන අවස්ථා වලදී අදාල භාවිතා කරන්නා වෙනුවෙන් අලුත් access token එකක් නිර්මාණය කිරීමට කටයුතු කර තිබී තිබෙනවා.
එලෙස නිර්මාණය වන access token එක සොරකම් කිරීම මගින් මේ ප්රහාරය දියත් කර තිබෙන බව තමයි මේ වන විට දැනගන්නට ලැබෙන්නේ.
Access token එකක් කියන්නේ මොකක් ද?
Facebook ඇතුළුව අපි යම්කිසි වෙබ් අඩවියකට login වන විට පළමු අවස්ථාවේ පමණක් login වූ විට නැවත නැවතත් login වීමට අවශ්යයතාවයක් එන්නේ නැහැ නේද? අන්න ඒ පහසුකම ලබා දීම වෙනුවෙන් අපි එක වරක් username සහ password ඇතුලත් කළ විට ඒ වෙනුවෙන් නිර්මාණය කරන ලද code එකක්, එහෙමත් නැතිනම් token එකක් අපේ web browser එකේ store කරන්නට ඔවුන් කටයුතු කරනවා.
මේ token එක ඇතුලේ ඔයාගේ username එක වත්, password එක වත් ඇතුලත් වෙන්නේ නැහැ. නමුත් මේ token එක වෙන කෙනෙකුට ලබාගන්නට හැකියාව ලැබුණොත්, ඒ හරහා ඔයා login වෙන විදිහටම එයාටත් ඔයාගේ account එකට login වෙන්නට අවස්ථාව ලැබෙනවා.
මේ වන විට ප්රශ්නය විසඳලා ද තියෙන්නේ?
සැප්තැම්බර් 27 වනදා වන විට ඉහත සඳහන් කළ ප්රශ්න සියල්ලම නිරාකරණය කිරීමට Facebook සමාගම කටයුතු කර ඇති අතර අදාල ගිණුම් වල access token reset කිරීම ආරම්භ කළ බව ඔවුන් වැඩි දුරටත් ප්රකාශ කරනවා.
ඔයාවත් Facebook එකෙන් logout වෙලා තිබුණා ද?
මෙම සයිබර් ප්රහාරයෙන් පසුව Facebook ආයතනය විසින් එම දත්ත සොරාගැනුන ගිණුම් වල token reset කරන්නට කටයුතු කර තිබෙනවා. ඒ කියන්නේ අද දිනයේ ඔබ Facebook login වන විට ඔබට ඔබගේ මුරපදය නැවත ලබාදීමට සිදුවුණා නම් එයින් අදහස් වන්නේ ඔබත් එම මිලියන 90 අතර ඉන්න බවයි. ඒ කියන්නේ hack වීමට ලක් වූ මිලියන 50 ඇතුලත හෝ අවධානමට ලක් වූවා යැයි සැක කෙරෙන මිලියන 40 ඇතුලත ඔබේ ගිණුමත් ඇතුලත්ව තිබෙන බවයි.
මේ හරහා WhatsApp සහ Instagram ගිණුම් වලටත් අවධානමක් එනවා ද?
WhatsApp ගිණුම් වලට මේ හරහා හානියක් සිදු වී නොමැති නමුත් මෙයට ඇතුලත් වූ Instagram භාවිතා කරන්නන් හට තමන්ගේ Instagram ගිණුමෙන් Facebook ගිණුම unlink කර නැවත relink කිරීමට සිදු වනු ඇති බව ඔවුන් වැඩිදුරටත් දන්වා සිටිනවා.
Facebook ගිණුම හරහා login වුණු වෙනත් වෙබ් අඩවි වලටත් මෙය බලපානවා ද?
සරළ පිළිතුර, ඔව්. මේ access token එක තිබෙන විට ඊට අදාල වෙනත් වෙබ් අඩවි වලින් ද password හෝ username නොමැතිව ස්ව්යංක්රීයව ඔබේ ගිණුමට පිවිසීමට ඉඩ ලබා දෙනවා.
මේ සඳහා Facebook සමාගමට දඬුවම් විඳිමට සිදු වේවි ද?
අලුතින් ක්රියාත්මක කරනු ලැබූ යුරෝපා දත්ත සුරක්ෂාව පිළිබඳ පණත මගින් ගෙන ආ General Data Protection Regulation (GDPR) එක උල්ලංඝනය වී තිබුණු බව සනාථ වුවහොත් Facebook සමාගමේ මුළු ආදායමෙන් 4% ක ප්රමාණයක් දක්වා වූ දඩයකට යටත් වීමට Facebook සමාගමට සිදු සිදු විය හැක.
මේ ගැන වැඩි විස්තර Facebook Newsroom එකෙන්, TechCrunch වෙබ් අඩවියෙන් සහ theverge වෙබ් අඩවියෙන් දැනගන්න අවස්ථාව තිබෙනවා.