شهدت الآونة الأخيرة كشفاً أمنياً بارزاً سلط الضوء على نقاط ضعف جوهرية في بنية بوابة واجهة برمجة تطبيقات التحويلات (Meta Conversions API Gateway). كشف هذا الاكتشاف عن وجود ثغرتين من نوع حقن السكربتات عبر المواقع (XSS) داخل المكونات البرمجية للبوابة. وتكمن الخطورة الكبرى في قدرة هذه الثغرات، وفق سيناريوهات الهجوم الموثقة، على تمكين المهاجمين من تنفيذ شيفرات جافا سكربت خبيثة ضمن نطاقات تابعة لشركة Meta بشكل مباشر. ويفتح هذا المسار التقني الباب أمام احتمالات الاستيلاء على حسابات فيسبوك دون الحاجة إلى أي تفاعل من قبل المستخدم، وهو ما يعرف بهجمات النقر الصفري (Zero-click)، في حالات تقنية معينة تتسم بالتعقيد.
وثق الباحث الأمني Youssef Sammouda هذه السلسلة من الاستغلالات، موضحاً كيف أن خللاً في ملف جافا سكربت محوري يدعى (capig-events.js) قد شكل الثغرة الأمنية الكبرى. واستجابة لهذا التقرير، سارعت شركة Meta إلى معالجة الثغرتين في تواريخ محددة بدأت من ديسمبر 2024 وامتدت إلى مطلع يناير 2025، مقدرة خطورة هذا الكشف بمكافآت مالية ضخمة بلغت في مجموعها 312,500 دولار أمريكي، حيث نالت الثغرة الأكثر خطورة مبلغ 250,000 دولار بمفردها.
التشريح التقني لثغرتي XSS وآليات الاستغلال المتبعة
تعد بوابة Meta Conversions API Gateway أداة استراتيجية تعتمد عليها الشركات لإرسال بيانات التفاعل من الخادم مباشرة إلى منصات Meta، لتجاوز القيود التي تفرضها المتصفحات على ملفات تعريف الارتباط. غير أن هذا الحل التقني يتضمن ملفاً تنفيذياً يحمل تلقائياً في سياقات متعددة، وهو ما يحول أي خلل برمجي فيه إلى خطر يهدد سلسلة التوريد الرقمية بالكامل.
تتركز الثغرة الأولى المكتشفة في كيفية تعامل السكربت مع الرسائل الواردة عبر خاصية (postMessage)؛ إذ تبين أن السكربت يستقبل رسائل برمجية معينة ويخزن مصدرها دون التحقق الكافي من هويته عبر قائمة سماح صارمة. هذا القصور يمنح المهاجم القدرة على توجيه المتصفح لجلب ملفات خبيثة من نطاقات يسيطر عليها، ومن ثم تنفيذها داخل سياق صفحات Meta.
أما الثغرة الثانية، فقد وصفت بأنها الأشد فتكاً كونها تقع في جانب الخادم أثناء عملية توليد ملف (capig-events.js) نفسه. وتعتمد هذه الثغرة على الحقن المخزن، حيث تتيح للمهاجم إدخال قيم معينة ضمن إعدادات التكوين، تؤدي بدورها إلى كسر السياق النصي للشيفرة البرمجية وحقن تعليمات جافا سكربت تندمج بشكل دائم في السكربت النهائي المقدم للزوار. تتجسد خطورة هذا النوع من الحقن في كونه لا يتطلب هندسة اجتماعية أو إغراء المستخدم بالضغط على روابط مشبوهة، بل ينفذ بمجرد تحميل السكربت الأصلي من مصدره الموثوق.
التبعات الأمنية والجدول الزمني لعمليات الإبلاغ والمعالجة
تتجاوز الآثار المترتبة على هذه الثغرات مجرد تشغيل شيفرات بسيطة، إذ تمنح المهاجم صلاحيات الوصول إلى عناصر الحماية الحساسة مثل رموز الجلسة (Session Tokens) وعناصر حماية (CSRF). ومن خلال السيطرة على هذه العناصر ضمن سياق نطاقات Meta، يصبح بمقدور المهاجم تنفيذ عمليات برمجية نيابة عن المستخدم المسجل دخوله، مثل تعديل بيانات الحساب الجوهرية كالبريد الإلكتروني أو أرقام الهواتف، ما يؤدي في النهاية إلى فقدان السيطرة الكاملة على الحساب.
ورغم هذه الخطورة، تؤكد التقارير أن هذه الثغرات قد تم اكتشافها ومعالجتها ضمن إطار الإفصاح المسؤول، ولم ترصد أي أدلة على استغلالها بشكل موسع في هجمات واقعية قبل الإصلاح.
وقد سار الجدول الزمني للإصلاح والمكافآت بشكل متسارع يعكس جدية الموقف؛ ففي 22 نوفمبر 2024 تم الإبلاغ عن الثغرة الثانية، وتبعها الإبلاغ عن الأولى بعد يومين فقط. وبحلول 11 ديسمبر 2024، تم إغلاق الثغرة الأولى بنجاح، بينما أُغلق ملف الثغرة الثانية في 3 يناير 2025. وتظهر استجابة Meta السريعة التزامها بحماية بنيتها التحتية، خاصة وأن المبالغ الممنوحة كجائزة للباحث تعكس ندرة وصعوبة العثور على مثل هذه السلاسل من الهجمات في الأنظمة الحديثة.
توصيات استراتيجية للمؤسسات لتأمين بوابات البيانات
تفرض هذه الواقعة على المؤسسات التي تعتمد على بوابة تحويلات Meta ضرورة تبني نهج أمني صارم، واعتبار شيفرات التتبع جزءاً لا يتجزأ من بيئتها الأمنية الحساسة.
تتمثل الخطوة الأولى والأساسية في التحقق الفوري من تحديث كافة النسخ المستضافة ذاتياً إلى أحدث الإصدارات المتوفرة، وضمان تطبيق إصلاحات يناير 2025 بشكل فعلي. كما يجب على الفرق التقنية مراجعة كافة مواضع التوليد الديناميكي لشيفرات جافا سكربت داخل أنظمتها، واعتماد سياسات هروب الرموز الصارمة لكل المدخلات التي قد يتحكم بها المستخدم قبل دمجها في أي مخرجات برمجية.
علاوة على ذلك، ينبغي تعزيز حوكمة استخدام (postMessage) من خلال فرض قوائم سماح دقيقة للأصول الموثوقة، والتحقق من بنية الرسائل قبل معالجتها. ومن الضروري أيضاً تقوية سياسات أمن المحتوى (CSP) لتقليل النطاقات الخارجية المسموح لها بتشغيل السكربتات، مع مراقبة الصفحات التي قد تحتوي على إعدادات أمنية أقل صرامة.
