53.5 % من مواقع الإنترنت تعاني من ثغرات أمنية وضعف في حماية البيانات

كشف تقرير أمني حديث أن أكثر من 53.5% من مواقع الإنترنت تعاني من ضعف في تأمين وحماية البيانات بسبب أخطاء في تهيئة شهادات SSL/TLS، التي تعد من بين أكثر الثغرات شيوعاً، ويمكن أن تؤدي الأخطاء في إعداد هذه البروتوكولات إلى توسيع سطح الهجوم بشكل كبير، مما يجعلها عرضة لهجمات سيبرانية تهدد سرية المعلومات وثقة المستخدمين.
وتعتبر أخطاء تهيئة أو إعداد بروتوكول "SSL/TLS" من أبرز الثغرات التي تظهر. ويعود ذلك إلى شيوع هذه الأخطاء، وتعقيد إعدادها بشكل سليم، وارتفاع مستوى ظهورها سواء للمستخدمين أو للمهاجمين، مما يجعلها هدفاً مفضلاً للاستغلال.
تحدث أخطاء التهيئة عندما يتم إعداد أو إدارة شهادات SSL بطريقة غير صحيحة، ومن أبرز هذه الأخطاء:
استخدام خوارزميات تشفير قديمة لم تعد آمنة.
وجود شهادات منتهية الصلاحية أو غير صالحة.
تهيئة سلاسل شهادات غير مكتملة أو غير موثوقة.
اعتماد مجموعات تشفير ضعيفة وغير محدثة.
أوضح التقرير أن شهادات SSL تلعب دوراً محورياً في تشفير الاتصالات والتحقق من هوية المواقع الإلكترونية، وفي حال تهيئتها بشكل خاطئ، فإنها تُعرّض المؤسسة لمخاطر جسيمة، مثل:
يمكن للمهاجمين اعتراض البيانات بين المستخدم والخدمة وتعديلها دون علم الطرفين، خاصة في حال استخدام شهادات مزيفة أو غياب التشفير.
التنصت على البيانات:
ضعف التشفير أو استخدام شهادات منتهية الصلاحية يتيح للمخترقين التجسس على الاتصالات وسرقة المعلومات.
ممارسات مثل إعادة التوجيه غير الآمن أو وجود محتوى مختلط بين الآمن وغير الآمن، ترفع من فرص حدوث اختراق.
فقدان ثقة المستخدم:
التكرار المستمر لأخطاء SSL يؤدي إلى تعوّد المستخدمين على تجاهل تحذيرات المتصفح، مما يجعلهم فريسة سهلة لهجمات التصيّد والاحتيال الإلكتروني.
لماذا يصعب اكتشاف هذه الأخطاء؟
يشير التقرير إلى أن اكتشاف أخطاء تهيئة SSL يُعد تحدياً تقنياً، خاصة في غياب أنظمة متخصصة، وذلك لأسباب عدة:
معظم أدوات الأمن السيبراني تركز على حماية الأنظمة الداخلية، بينما تُهمل مراقبة الأصول الرقمية المكشوفة على الإنترنت، والتي تُعد الأكثر عرضة للأخطاء.
مع التوسع المستمر في استخدام التطبيقات والخدمات السحابية، تصبح تهيئة SSL عرضة للتلف أو الإهمال دون أن يتم رصد ذلك بشكل فوري.
حلول مقترحة: أنظمة (EASM)
يوصي التقرير باستخدام أنظمة إدارة سطح الهجوم الخارجي (EASM) المبنية على الحوسبة السحابية، والتي توفر:
اكتشافاً مستمراً للأصول الرقمية المكشوفة.
مراقبة صحة الشهادات من حيث التواريخ، والسلاسل، والإصدارات.
تنبيهات تلقائية عند ظهور ثغرات أو تغييرات خطيرة.
توصيات
دعا مختصون في الأمن السيبراني المؤسسات إلى:
1. إجراء مراجعة دورية لشهادات SSL الخاصة بها.
2. اعتماد أدوات خارجية متقدمة تراقب التهيئة والأمان بشكل مستمر.
3. توعية الفرق التقنية بأهمية تهيئة الشهادات وضمان التوافق مع أفضل الممارسات الأمنية.

جرب ميزات الذكاء الاصطناعي لدينا

اكتشف ما يمكن أن يفعله Daily8 AI من أجلك:

التعلم مع الذكاء الاصطناعيالتحقق من الحقائقتحويل النص إلى كلامملخص الذكاء الاصطناعي

أخبار ذات صلة

الوئام

٠٩-٠٥-٢٠٢٥

• الوئام

'جوجل ميسجز' تبدأ في طرح ميزة 'الحذف للجميع'

بدأ تطبيق Google Messages على أجهزة أندرويد في تفعيل ميزة جديدة طال انتظارها، تتيح للمستخدمين حذف الرسائل المرسلة من جميع أطراف المحادثة، وليس فقط من طرفهم. هذه الميزة، المعروفة باسم 'الحذف للجميع'، أصبحت متاحة في سياق المحادثات الجماعية باستخدام بروتوكول RCS، وهو ما يعزز قدرات التطبيق ليقترب أكثر من التطبيقات المنافسة مثل واتساب وتيليغرام. عند محاولة حذف رسالة داخل المحادثة، تظهر أمام المستخدم الآن خياران: الأول هو 'الحذف للجميع'، والذي يتيح إزالة الرسالة من أجهزة جميع المشاركين في الدردشة، أما الخيار الثاني فهو 'الحذف لي فقط'، وهو السلوك التقليدي الموجود مسبقاً في التطبيق. مع ذلك، حذرت غوغل من أن الرسائل قد تبقى مرئية لدى الأشخاص الذين لا يزالون يستخدمون نسخاً أقدم من التطبيق. الميزة تأتي ضمن مجموعة تحديثات أوسع يتم دعمها من خلال ما يُعرف بـ Universal Profile 2.7، والذي يسمح أيضاً للمستخدمين بتحرير الرسائل بعد إرسالها، أو استدعائها (Recall) قبل أن تتم قراءتها، إلى جانب حذفها من الطرف الآخر. وبحسب ما أفاد به أحد المستخدمين المشتركين في النسخة التجريبية، فإن ميزة 'الحذف للجميع' ظهرت لديه فقط في محادثة جماعية كبيرة تضم 12 شخصاً، بينما لم تكن متوفرة في المحادثات الثنائية أو المجموعات الصغيرة. يشير ذلك إلى أن غوغل ربما تختبر الميزة بشكل محدود قبل تعميمها على نطاق أوسع. في السياق ذاته، تعمل غوغل على تطوير مزايا إضافية لتحسين تجربة المحادثات الجماعية، من بينها إمكانية الانضمام إلى المجموعات عبر روابط دعوة أو رموز QR، بالإضافة إلى دعم ميزة @-Mentions التي تتيح الإشارة إلى أعضاء محددين داخل المحادثة. كل هذه التحديثات تعكس مساعي الشركة لتحديث نظام المراسلة لديها وتقديم تجربة أكثر تكاملاً وحداثة لمستخدمي أندرويد.

الوئام

٠١-٠٥-٢٠٢٥

• الوئام

ميزة جديدة من 'واتساب' لحماية خصوصية محادثات الذكاء الاصطناعي

أعلنت شركة 'ميتا' عن ميزة جديدة في تطبيق واتساب تحت اسم 'المعالجة الخاصة' (Private Processing)، التي تهدف إلى توفير بيئة آمنة وخاصة للمستخدمين أثناء تفاعلهم مع مساعد الذكاء الاصطناعي الخاص بها، Meta AI. الميزة الجديدة، التي ستكون اختيارية بالكامل، ستمكن المستخدمين من توجيه الذكاء الاصطناعي لمعالجة طلباتهم بطريقة لا تعرض خصوصيتهم للخطر. وتهدف إلى إلغاء أي إمكانية للوصول إلى المحادثات من قبل أي جهة خارجية، بما في ذلك ميتا أو واتساب. مع تفعيل 'المعالجة الخاصة'، يتم حذف محتوى الرسائل فور انتهاء الجلسة، مما يمنع أي جهة ضارة من الوصول إليها، حتى في حال حدوث اختراق للنظام. هذا التطور يعكس التزام ميتا بحماية بيانات مستخدميها في بيئة الذكاء الاصطناعي. من خلال 'المعالجة الخاصة'، سيتاح للمستخدمين معالجة طلباتهم الخاصة مثل تلخيص المحادثات ضمن جلسات محمية بالكامل، ستستخدم 'ميتا' بروتوكول OHTTP لضمان إخفاء عنوان IP الخاص بالمستخدم، مشابهًا لما تفعله آبل في ميزة 'الحوسبة السحابية الخاصة' (Private Cloud Compute). كما أن كافة طلبات الذكاء الاصطناعي في واتساب ستُعالج في خوادم ميتا، مع تفعيل الميزة يدويًا من قبل المستخدم. أعلنت ميتا أنها ستتيح لجهات مستقلة مراجعة الأداء الأمني للميزة الجديدة للتحقق من التزاماتها فيما يخص الخصوصية والأمان، كما أكدت ميتا أنها جزء من برنامج مكافآت لاكتشاف الثغرات الأمنية، مشيرة إلى أنها ستنشر ورقة هندسية مفصلة حول آليات الأمان مع اقتراب موعد إطلاق الميزة رسميًا. مع تزايد المخاوف حول أمان وخصوصية بيانات الذكاء الاصطناعي، تسعى ميتا من خلال هذه الميزة إلى تعزيز الثقة بين المستخدمين وأدوات الذكاء الاصطناعي التي تقدمها. تسعى الشركة إلى التأكيد على أنها تضع خصوصية المستخدمين في مقدمة أولوياتها، وهو ما يظهر بوضوح من خلال تقديم حلول تكنولوجية مبتكرة مثل 'المعالجة الخاصة'.

صحيفة مال

٠١-٠٥-٢٠٢٥

• صحيفة مال

'واتساب': ميزة جديدة تحمي خصوصية محادثات الذكاء الاصطناعي

أعلنت شركة ميتا ميزة جديدة في تطبيق واتساب تحمل اسم 'المعالجة الخاصة Private Processing'، وهي تُوفّر طريقة آمنة وخاصة للتفاعل مع مساعد الذكاء الاصطناعي الخاص بها Meta AI. ووفقًا لـ 'البوابة التقنية' أكدت الشركة أن هذه الميزة اختيارية بالكامل، وستبدأ بالوصول إلى المستخدمين خلال الأسابيع المقبلة، مشددةً على أنه لن تكون هناك أي جهة، مثل ميتا أو واتساب أو أي جهة خارجية، قادرة على رؤية هذه التفاعلات. وتهدف الميزة إلى منح المستخدمين القدرة على توجيه الذكاء الاصطناعي لمعالجة طلباتهم – مثل تلخيص المحادثات – ضمن جلسات محمية، إذ يُحذف محتوى الرسائل فور انتهاء الجلسة، مما يمنع أي جهة ضارة من الوصول إليها لاحقًا، حتى في حال تعرّض النظام للاختراق. اقرأ المزيد وتسعى ميتا من خلال هذه الميزة إلى منع المهاجمين من استهداف المستخدمين دون اختراق البنية التحتية الكاملة، كما أوضحت أنها ستُتيح لجهات مستقلة مراجعة أداء ميزة 'المعالجة الخاصة'، والتحقق من التزاماتها المتعلقة بالخصوصية والأمان. وذكرت الشركة أن النظام الجديد بات جزءًا من برنامج مكافآت اكتشاف الثغرات الأمنية، مع تعهّدها بنشر ورقة هندسية تفصيلية حول آليات الأمان مع اقتراب موعد الإطلاق الرسمي. ووفقًا لما ذكرته ميتا، فإنه الطلبات الخاصة سوف تُمرر عبر مزود خارجي باستخدام بروتوكول OHTTP الذي يُخفي عنوان IP الخاص بالمستخدم، في خطوة مماثلة لما تفعله آبل في ميزة 'الحوسبة السحابية الخاصة Private Cloud Compute'. ومع ذلك، أوضحت تقارير تقنية أن أبرز فرق هو أن كافة طلبات الذكاء الاصطناعي في واتساب تُعالج في خوادم ميتا، ويجب على المستخدم تفعيل 'المعالجة الخاصة' يدويًا، في حين تعتمد آبل على المعالجة في الجهاز بنحو افتراضي، وتلجأ إلى خوادمها فقط عند الحاجة. وتُعد هذه الخطوة جزءًا من سعي ميتا إلى تعزيز الثقة بأدوات الذكاء الاصطناعي، مع المحافظة على خصوصية المستخدمين وأمان بياناتهم.