استمع إلى المقال

كشف بحثٌ جديدٌ صدر الأسبوع الماضي أن العملية التي يستخدمها المعلنون من الجهات الخارجية (الذين يُدعون بـ “الأطراف الثالثة”) لاستهداف المستخدمين عبر الإنترنت يمكن عرضها أو التلاعب بها من قبل المجرمين السيبرانيين والقراصنة باستخدام عنوان البريد الإلكتروني للشخص المستهدف فقط.

قدم فريقٌ من أربعة أشخاص من الباحثين من معهد جورجيا للتكنولوجيا وجامعة إلينوي – شيكاغو وجامعة نيويورك نتائجهم يوم الأربعاء المنصرم في مؤتمر “ACM” حول أمن الكمبيوتر والاتصالات، وهو  واحد من أهم المؤتمرات العالمية في هذا المجال، وتم إرسال تلك النتائج وعرض التهديدات لشركتي “ياهو” و”كرايتيو” (Criteo)، إحدى أكبر شبكات الإعلانات التابعة لجهات خارجية في السوق لدراستها والعمل على تعزيز الخصوصية في ضوئها.

تخصيص وتتبع لا يتوقف

الكثير من الإعلانات التي تظهر للمستخدمين عبر الإنترنت اليوم تم تصميمها وتوجيهها خصيصًا للأفراد استنادًا إلى سجل التصفح والموقع ومجموعة متنوعة من العوامل الأخرى التي تجمعها شبكات الإعلانات التابعة لجهات خارجية، فقد يظهر إعلان حجزٍ فندقي خلال المونديال لمستخدم في دولة الإمارات، بينما يظهر إعلان فرصة عمل كرجل استخبارات لدى مستخدم في لبنان، رغم أن كلا المستخدمين يتصفحان ذات الموقع والصفحة.

يتم جمع هذه البيانات عن طريق ملفات تعريف الارتباط (الكوكيز) للتتبع، والتي يتم إرسالها بواسطة شبكات الإعلانات التابعة لجهات خارجية وترتبط بمعرّفات شخصية فريدة مثل عناوين البريد الإلكتروني. تسمح ملفات تعريف الارتباط هذه للمعلنين بإنشاء ملفات تعريف شاملة لمستخدمي الإنترنت، ولكن كما وجد الباحثون، يمكن للجهات المشبوهة أو مهاجمي الإنترنت التأثير على هذا النظام.

بمجرد أن يعرف المهاجم عنوان البريد الإلكتروني للمستخدم، يمكنه الاستفادة من المعلومات التي يتم جمعها من قبل أي معلن تابع لجهة خارجية يراقب تدفق الإعلانات المستهدفة لمستخدم معين. وقد يسمح هذا للمهاجمين المحتملين بإلقاء نظرة عن كثب على سجل التصفح المفصّل للفرد، مثل مواقع تجارة التجزئة التي يتسوق منها ومواقع السفر وطلب الطعام وغيرها.

قال بول بيرس، المساعد أستاذ في كلية الأمن السيبراني والخصوصية في معهد جورجيا للتكنولوجيا. “يوضح عملنا أن الطريقة التي يتم بها تمرير المعلومات إلى شبكات الإعلانات غير آمنة ويصعب التحقق منها. إذا كان المهاجم يعرف عنوان البريد الإلكتروني للضحية، فيمكنه أن يكذب على شبكة الإعلانات متظاهرًا بأنه هو المستخدم، مما يؤدي إلى مشاكل خصوصية حقيقية جدًا”.

كيف يحدث ذلك؟

يصف الباحثون هذه الحساسية بأنها تشابك في هوية الإعلان، وتحدث عندما يخلط المهاجمون بين شبكات الإعلانات لربط ملفات تعريف الارتباط لتتبع المهاجم بعنوان البريد الإلكتروني للشخص المستهدف، ويحولونها إلى البيانات التي تجمعها أطراف ثالثة. كما ذكر بيرس وزملاؤه في ورقتهم البحثية، يمكن للخصوم أيضًا الاستفادة من العملية لإرسال إعلانات من أي نوع إلى أهدافهم.

كتب كريس كانيش، الأستاذ المساعد في جامعة شيكاغو – إلينوي: “عندما أستخدم الإنترنت على جهازي الخاص، مثل الهاتف أو الكمبيوتر المحمول، لا أتوقع أن أي شخص يعرف بريدي الإلكتروني الشخصي يمكنه التلاعب بما أراه. إن احتمالية هكذا هجوم مزعجة بحق، لكنني مرتاح نسبيًا لأنني أستخدم أدوات منع الإعلانات والتتبع في متصفحات الويب الخاصة بي.”

بريد يفضح كل شيء

لاختبار حجم هذه المشكلة، أنشأ الباحثون مستخدمين وهميين وملفات شخصية لهم من أجل التجربة، ولم يكن هناك أي شخص حقيقي مستهدف في أي وقت خلال الدراسة. ومن خلال معرفة عنوان البريد الإلكتروني للمستخدم التجريبي فقط (الضحية المستهدفة في هذه الحالة)، تمكّن الفريق من تحديد عناصر ومواقع ويب معينة تفاعلت الضحية معها.

إلى جانب عادات التسوق، أظهر الاختبار أيضًا أن الإعلانات المعاد استهدافها يمكن أن تحتوي على معلومات حساسة عن الموقع الجغرافي. على سبيل المثال، إذا تفاعل الضحية مع بعض مواقع الفنادق والسفر، فقد يتلقى المهاجم بعد ذلك إعلانات معاد استهدافها للفندق المحدد الذي شاهدته الضحية.

كتب دامون ماكوي، الأستاذ المساعد في جامعة نيويورك: “إن احتمال أن تسرّب شبكة إعلانية خطط سفر شخص مستهدف ما إلى أي شخص لديه عنوان بريده الإلكتروني يمثل تهديدًا كبيرًا للخصوصية ويحتمل أن يكون خطيرًا على الأشخاص الذين تتم ملاحقتهم”.

يشير الباحثون إلى أن مكافحة هذه المشكلة دون التعاون مع شبكات الإعلانات نفسها يمثل تحديًا، لكن أدوات منع الإعلانات توفر خيارًا أوليًا معقولًا للحد من كشف بيانات المستخدم الخاصة. ومع ذلك، لا ينبغي أن يقع التخفيف من هذا التهديد على عاتق المستخدمين فقط. إذ يقترح الفريق أيضًا أنه إذا شفّرت شبكات الإعلانات التابعة لجهات خارجية عملية تبادل معلومات الهوية والتأكد من التحقق من البيانات وتصحيحها، فسوف يساعد ذلك في تخفيف التهديد.

قد يهمّك أيضًا: تغييرات خصوصية جوجل: نهاية عصر التّتبع عبر التطبيقات وملفات تعريف الارتباط وإعلانات الجهات الخارجية

هل يمكن معرفة الجهات المتتبّعة؟ وكيف يمكن منعها من التتبع؟

للأسف، ليس من الممكن معرفة كل شركة لديها حق الوصول إلى بياناتك. لكن تشير بعض التقديرات إلى أن أكثر من 75% من جميع مواقع الويب تتبّعك، على اختلاف أدوات وأهداف التتبع في كل موقع. وعلى الرغم من أن جوجل تتيح لك تنزيل بياناتك، وقد أتاحت فيسبوك ذلك أيضًا، يبقى من غير الممكن معرفة من يتعاملون معها لاستهدافك.

تتمثل إحدى أفضل الاستراتيجيات ضد تتبع ملفات تعريف الارتباط في إرباكها. أي إلى جانب محو أدوات تتبع الإعلانات من متصفحك، تضيف برامج مكافحة التتبع الجيّدة بيانات مزيفة إلى متصفحك حتى لا تتمكن الشركات التي تتعقبك من الحصول على صورة دقيقة تعكس نشاطك الفعلي على الإنترنت.

أما إذا كنت تتساءل عن كيفية إيقاف إعادة توجيه الإعلانات أو منع تتبع الإعلانات تمامًا، فإن أفضل طريقة هي استخدام أداة مخصصة، سواء كانت برامج لمكافحة التتبع أو متصفحًا آمنًا مصممًا خصيصًا لتعزيز الخصوصية والأمان، ويعد متصفح “أفاست” الآمن من أفضل التطبيقات التي تخدم ذاك الغرض.

وعلى الرغم من أن برامج الـ VPN يمكن أن تساعد في إخفاء موقعك، فإنها لن تحذرك بشأن محاولات التتبع أو إخفاء بصمة جهازك أو مسح ملفات تعريف الارتباط. يعتقد بعض الناس أن استخدام وضع التصفح المتخفي يحول دون التجسس عليهم، لكن الحقيقة ليست كذلك تمامًا. إذ يمكن أن يساعد استخدام التصفح الخاص (الذي يشار إليه غالبًا باسم “التصفح الخفي”) في منع تتبع الإعلانات إلى حد ما، ولكنه لا يمسح ملفات تعريف الارتباط إلا عند نهاية جلسة التصفح، التي قد تستمر لساعات أو حتى أيام. كما لا يمكن للتصفح الخفي حظر تتبع عنوان “IP” الخاص بالجهاز أو بصمة المتصفح أو طرق التتبع الأخرى.

قد يهمّك أيضًا: الـ VPN المجاني ليس آمنًا كما تعتقد، بل وقد يكون مصدر الضرر

لكن يمكنك إضافة ملحقات مانع الإعلانات إلى سطح المكتب أو أدوات منع الإعلانات على أندرويد أو التطبيقات لمنع الإعلانات والتتبع على جهاز آيفون الخاص بك لرؤية عدد أقل من الإعلانات المزعجة، إلا أن هذه الحواجز لا تمنع المعلنين من تتبّعك، ما يبقي الأمر بأيدي شبكات الإعلانات لتتعاون مع الباحثين لوضع حدٍّ لذلك، أو تنظيمه.