خصوصية

موظفو سناب شات يسيئون استخدام البيانات للتجسس على المستخدمين

تمكن موظفون من الحصول على بيانات المستخدمين بما في ذلك موقعهم الجغرافي، أرقام هواتفهم والبريد الألكتروني، إضافة الى صور ومقاطع فيديو
Joseph Cox
إعداد Joseph Cox
29.5.19
snaplion
Image: Hunter French

عَلِمَت Motherboard بقيام عدة أقسام في عملاق التواصل الاجتماعي سناب شات بتخصيص أدوات للوصول إلى بيانات المستخدمين، وبأن عدة موظفين أساؤوا الوصول للبيانات من خلال التجسس على مستخدمي تطبيق سناب شات.

أفادَ موظفان سابقان أن عدة موظفين في شركة سناب قد أساؤوا استخدام إمكانية الوصول إلى بيانات مستخدمي في تطبيق سناب شات قبل عدة سنوات. تحدثتْ هذه المصادر، بالإضافة إلى موظفين سابقين اثنين وموظف حالي إضافة الى مجموعة من رسائل البريد الإلكتروني الداخلية للشركة التي حصلت عليها Motherboard عن الأدوات الداخلية التي سمحت لموظفي سناب في ذلك الوقت بالوصول إلى بيانات المستخدمين، بما في ذلك المعلومات المتعلقة بموقعهم الجغرافي ولقطات سنابس المحفوظة والمعلومات الشخصية من أرقام هواتف وعناوين بريد إلكتروني. ولقطات Snaps هي صور أو مقاطع فيديو تختفي عادةً بعد تلقيها إن لم يتم حفظها (أو بعد 24 ساعة من نشرها كقصة من قبل المستخدم.)

إعلان

تحفظتْ Motherboard على هوية مصادر هذا المقال وذلك ليتمكنوا من التحدث عن عمليات سناب الداخلية بصراحة. ووفقاً لما صرحت به عدة مصادر، وضعتْ شركة سناب ضوابط صارمة على إمكانية الوصول إلى بيانات المستخدمين، كما أنها لا تتساهل في مسألة إساءة الاستخدام وخصوصية المستخدم، إلا أن هذا الخبر سيسلّط الضوء على شيء ربما غَفلَ عنه كثير من المستخدمين، وهو أنّ مِن وراء المنتجات التي نستخدمها كل يوم أشخاصٌ لديهم إمكانية الوصول إلى بيانات العملاء الحساسة للغاية، فهم يحتاجون إليها لأداء إحدى الإجراءات الأساسية في الخدمة التي توفرها شركاتهم. ولكن بدون توفير الحماية المناسبة، فإن ذات الأشخاص قد يسيئون استخدام هذه البيانات للتجسس على معلومات المستخدمين أو ملفاتهم الشخصية.

بالنسبة للمستخدمين العاديين، عليهم أن يعوا أن أية بيانات غير مشفرة يتداولونها هي متاحة للغير في مرحلة ما

ووفقاً لمصادر متعددة ولرسائل إلكترونية، فإن SnapLion هي واحدة من هذه الأدوات الداخلية التي يمكنها الوصول إلى بيانات المستخدمين، وقال الموظفان السابقان إن هذه الأداة استخدمت في الأصل لجمع معلومات عن المستخدمين استجابة لطلبات قانونية لإنفاذ القانون. وقال كلا المصدرين إن كلمة SnapLion مشتقة من الاختصار الشائع لعبارة "ضابط إنفاذ القانون" (LEO)، وأضاف أحدهما أن في الكلمة إشارة إلى شخصية الرسوم المتحركة Leo the Lion، ووفقاً لأحد الموظفين السابقين، فإن فريق "الرسائل المزعجة وإساءة الاستخدام" يستطيع الوصول إلى البيانات. وقال أحد الموظفين الحاليين إن هذه الأداة تُستخدم لمكافحة التنمّر أو المضايقة في منصة سناب شات من قبل مستخدمين آخرين. ووفقاً لما جاء في رسالة بريد إلكتروني داخلية حصلَت عليها Motherboard أن قسم يدعى "عمليات الزبون" لديه الإمكانية للوصول إلى أداة SnapLion، كما يستطيع موظفو الأمن أيضاً؛ الوصول لهذه الأداة، التي لم يسبق أن تم الإبلاغ عن وجودها.

إنّ إقبال 186 مليون مستخدم على تطبيق سناب شات يعود إلى سرعة اختفاء مقاطع الفيديو والصور التي يتبادلها المستخدمون فيما بينهم، غير أن المستخدمين قد لا يكونون على دراية بنوع البيانات التي يمكن لسناب شات تخزينها، ففي عام 2014، فرضتْ لجنة التجارة الفيدرالية الأمريكية غرامة مالية على شركة سناب شات لإخفائها أمر جمع وتخزين ونقل بيانات الموقع الجغرافي للمستخدمين.

إعلان

ولدى شركة سناب دليل خاص بأجهزة إنفاذ القانون لطلب المعلومات حول المستخدمين، وهو متاح للجمهور، ويوضح هذا الدليل نوع البيانات التي توفرها الشركة، بما في ذلك رقم الهاتف المرتبط بحساب ما؛ وبيانات موقع المستخدم الجغرافي (عند قيام المستخدم بتشغيل هذه الميزة في هاتفه فيفعّل خدمات الموقع في سناب شات مثلاً)؛ وبيانات رسائلهم التي قد تكشف متى ومع من تكلم؛ وفي بعض الأحيان محتوى سناب محدود، مثل "ذكريات" المستخدم، وهي نسخ محفوظة من لقطاته التي عادة ما تكون مؤقتة، إضافة إلى الصور أو مقاطع الفيديو الأخرى التي يصنع المستخدم منها نسخة احتياطية.

ووفقاً لما جاء في رسالة إلكترونية داخلية حصلت عليها Motherboard، استخدم أحد موظفي سناب أداة SnapLion بطريقة شرعية للبحث عن عنوان البريد الالكتروني المرتبط بحساب ما في سياق لا يتعلق بتنفيذ القانون، في حين أظهرت رسالة بريد إلكتروني أخرى كيف يمكن استخدام هذه الأداة في تحقيقات متعلقة باستغلال الأطفال.

تُعد أدوات مثل SnapLion معياراً في عالم التكنولوجيا، إذ يتعين على الشركات أن تكون قادرة على الوصول إلى بيانات المستخدمين للعديد من الأغراض المشروعة. وقد قالت شركة سناب إن لديها الكثير من الأدوات التي تستخدمها للمساعدة في الامتثال للقوانين، وفرض شروط الشبكة وسياساتها. ولكن بعض الموظفين استخدموا عمليات الوصول إلى البيانات لأهداف غير مشروعة كالتجسس على المستخدمين، وفقاً لما أفاد به موظفون سابقون.

لا ينبغي للمرء أن ينظر إلى الشركات على أنها كيانات متجانسة، بل ككيانات تتألف من أفراد لديهم عيوب وتحيزات، ومن المهم بالتالي أن يتم ضبط الوصول إلى البيانات بشكل صارم وأن تخضع لمراقبة ومراجعات مناسبة

قال أحدُ الموظفين السابقين إن إساءة استخدام إمكانية الوصول إلى البيانات حدثتْ "مرات عدة " في شركة سناب، ووضّحَ هذا المصدر وموظف سابق آخر أن عدة أفراد قد أساؤوا استخدامها، وكشفت رسالة بريد إلكتروني من شركة سناب حصلت عليها Motherboard كيف أن الموظفين يناقشون مسألة التهديدات الداخلية والوصول إلى البيانات على نطاق واسع، وكيفية مواجهة ذلك.

لم تتمكن Motherboard من التحقق من كيفية إساءة استخدام البيانات بالضبط، أو ما هو النظام أو العملية التي استعان بها الموظفون للوصول إلى بيانات مستخدمي تطبيق سناب شات.

إعلان

ورداً على هذه المصادر، كتبَ متحدث باسم سناب في تصريح أرسله عبر البريد الإلكتروني: "إن حماية الخصوصية في شركة سناب أمر بالغ الأهمية، فنحن نحتفظ بالقليل من بيانات المستخدمين، ولدينا سياسات وضوابط صارمة للحد من الوصول الداخلي إلى البيانات الموجودة لدينا؛ ويُعد الوصول غير الشرعي؛ أياً كان نوعه؛ انتهاكاً واضحاً لمعايير سلوك الشركة التجاري، فيؤدي؛ حال اكتشافه، إلى الفصل الفوري من العمل."

وعندما سألناه عمّا إن كان قد حدث أي سوء استخدام للبيانات، قال أحد كبار الموظفين السابقين في أمن المعلومات في سناب: "لا يمكنني التعليق، لكن كان لدينا أنظمة جيدة منذ البداية، وقبل أية شركة ناشئة أخرى على الأرجح." غير أن الموظف السابق لم يأت على ذكر إقدام الموظفين على إساءة استخدام إمكانية الوصول إلى البيانات، وتوقف عن الرد على الرسائل التي تسأل عمّا إذا كانت إساءة الاستخدام قد حدثت بالفعل.

يرى أحد الموظفين السابقين أنه منذ عدة سنوات، لم يكن لدى أداة SnapLion مستوى مقبول من تسجيل نشاط تتبع البيانات التي وصل إليها الموظفون؛ فعموماً كان التسجيل يتم حين تقوم الشركة بتتبع منْ يستخدمون نظاماً ما؛ وكذا تتبع البيانات التي يصلون إليها، وذلك لضمان استخدامها كما ينبغي. وأضاف الموظف السابق أن الشركة قد كثفت من المراقبة بعد ذلك؛ كما قالت شركة سناب إنها تراقب الوصول إلى بيانات المستخدمين في الوقت الحالي. كما قالت شركة سناب بأنها تجعل من الوصول الداخلي إلى هذه البيلنات الحساسة حكراً على من يحتاجونها، إلا أن SnapLion لم تعد أداة مخصصة للمساعدة في تطبيق القانون فحسب، بل تُستخدم الآن بشكل عام في جميع أنحاء الشركة. وقال موظف سابق عمل في SnapLion إن هذه الأداة تُستخدم لإعادة تعيين كلمات مرور الحسابات التي تم اختراقها ولأنواع "أخرى من إدارة حسابات المستخدمين."

إعلان

ولكن أكد أحد الموظفين الحاليين على حرص الشركة على خصوصية المستخدم، وأكد اثنان من الموظفين السابقين على الضوابط التي وضعتها سناب لحماية خصوصية المستخدمين؛ وقد طرحتْ شركة سناب التشفير من طرف إلى طرف (end to end encryption) في شهر يناير من هذا العام.

إن استغلال الموظفين للوصول إلى البيانات لأغراض غير مشروعة هو أمر يحدث في شتى مجالات صناعة التكنولوجيا، ففي العام الفائت اشارت Motherboard الى أن شركة فيسبوك طردتْ كثيراً من موظفيها لاستغلالهم الوصول لبيانات المستخدمين وذلك لملاحقة شركائهم السابقين، كما استعرضت شركة أوبر (Uber) تقنية أطلقت عليه تسمية God View ومهمتها إظهار موقع المستخدمين والسائقين الحقيقيين في الوقت الحقيقي، كما استخدم موظفو أوبر الأنظمة الداخلية للتجسس على الشركاء السابقين والسياسيين والمشاهير.

وفي مكالمة هاتفية، قال أليكس ستاموس، كبير موظفي أمن المعلومات السابق في فيسبوك؛ والذي يعمل الآن أستاذاً مساعداً في جامعة ستانفورد: "بالنسبة للمستخدمين العاديين، عليهم أن يعوا أن أية بيانات غير مشفرة يتداولونها هي متاحة للغير في مرحلة ما،" وذلك في معرض حديثه عن التهديد الذي يمثله الموظفون الفاسدون في عمالقة التكنولوجيا بشكل عام. وأضاف ستاموس أن هذا الأمر ليس "نادراً البتة" وذلك في إشارة منه إلى إساءة استخدام الموظفين للبيانات.

وفي حوار عبر الأنترنت، ليوني تانزر، المحاضر في الأمن الدولي والتكنولوجيات الناشئة في جامعة كوليدج لندن، إن هذه الأنباء "تتفق مع فكرة أنه لا ينبغي للمرء أن ينظر إلى الشركات على أنها كيانات متجانسة، بل ككيانات تتألف من أفراد لديهم عيوب وتحيزات، ومن المهم بالتالي أن يتم ضبط الوصول إلى البيانات بشكل صارم وأن تخضع لمراقبة ومراجعات مناسبة."

ساهمَ لورنزو فرانشيسي-بيشيراي في كتابة المقال.

ظهر هذا المقال بالأصل على Motherboard