أمان رموز الوصول وملفات تعريف الارتباط في فيسبوك: ما يجب على كل معلن معرفته

إذا كنت تدير حسابات إعلانية على فيسبوك — سواء حساباتك الخاصة أو حسابات عملائك — فأنت تجلس على كومة من بيانات اعتماد الوصول التي يمكنها، في الأيدي الخاطئة، استنزاف الميزانيات وسرقة البيانات وتدمير الأصول الإعلانية بشكل دائم. هذا ليس افتراضياً. يحدث كل أسبوع.

اعتماد صناعة الإعلانات المتزايد على الأدوات غير الرسمية ومتصفحات مكافحة الكشف وسير عمل مشاركة الرموز أنشأ سطح هجوم هائلاً لا يفهمه معظم مشتري الوسائط بالكامل. يشرح هذا الدليل بدقة كيف تعمل رموز الوصول وملفات تعريف الارتباط في فيسبوك، والمخاطر التي تواجهها عند مشاركتها، وكيفية حماية عمليتك.

فهم رموز الوصول في فيسبوك

ما هي رموز EAAB وماذا تتحكم

في كل مرة يتفاعل فيها تطبيق طرف ثالث مع البنية التحتية الإعلانية لـ Meta، يفعل ذلك من خلال رمز وصول — سلسلة اعتماد تخبر خوادم API لـ Meta من يقدم الطلب وما المسموح له بفعله.

أكثر أنواع الرموز شيوعاً في الإعلانات هو رمز EAAB (البادئة تشير إلى تنسيق المعرّف المحدود بالتطبيق الذي تستخدمه Meta). عندما ترى سلسلة مثل EAABsbCS1iHgBAxxxxxxx، فأنت تنظر إلى مفتاح يمكنه:

• قراءة وتعديل جميع الحملات عبر كل حساب إعلاني يمتلك مالك الرمز وصولاً إليه
• تغيير الميزانيات والعطاءات — بما في ذلك تعيين الميزانيات اليومية إلى الحد الأقصى المسموح
• الوصول إلى معلومات الفوترة — عرض طرق الدفع وسجل الإنفاق والفواتير
• تنزيل بيانات الجماهير — تصدير الجماهير المخصصة وبيانات بذور الشبيه وقوائم العملاء
• إدارة أصول مدير الأعمال — إضافة أو إزالة أشخاص، إعادة تعيين الحسابات الإعلانية، تعديل الأذونات
• الوصول إلى Meta Pixel — عرض بيانات التحويل، تعديل إعدادات البكسل، وقراءة بيانات الأحداث

يعتمد نطاق الوصول على الأذونات الممنوحة عند إنشاء الرمز. أخطر إذنين في السياق الإعلاني هما ads_management (تحكم كامل في الحملات والمواد الإبداعية) وbusiness_management (تحكم هيكلي في مدير الأعمال نفسه).

أنواع الرموز: فهم التسلسل الهرمي

ليست جميع الرموز متساوية. يحتوي نظام رموز Meta على ثلاث طبقات مميزة، لكل منها تأثيرات أمنية مختلفة:

رموز وصول المستخدم تُنشأ عندما يسجل شخص الدخول عبر Facebook Login في تطبيق طرف ثالث. ترث هذه الرموز الأذونات التي منحها المستخدم أثناء تدفق التفويض. تنتهي رموز المستخدم قصيرة الأجل بعد حوالي ساعة. الرموز طويلة الأجل، التي تُحصل عليها بتبادل رمز قصير الأجل عبر API لـ Meta، تدوم حوالي 60 يوماً. هذه هي أكثر أنواع الرموز سرقةً لأنها تحمل كامل ثقل أذونات المستخدم البشري.

رموز وصول الصفحة مشتقة من رموز المستخدم لكنها محدودة النطاق بصفحة فيسبوك محددة. رمز الصفحة طويل الأجل المُنشأ بشكل صحيح يمكن أن يصبح غير منتهي — أي يظل صالحاً حتى يُلغى صراحةً أو حتى تتغير علاقة المستخدم بالصفحة. يُستخدم بشكل متكرر من قبل أدوات إدارة وسائل التواصل الاجتماعي.

رموز مستخدم النظام تُنشأ داخل مدير الأعمال للوصول إلى API من آلة إلى آلة. غير مرتبطة بأي حساب فيسبوك شخصي، ولا تنتهي صلاحيتها، ويمكن تقييدها بحسابات إعلانية وأصول محددة. من منظور أمني، تُعد رموز مستخدم النظام الخيار الأكثر تحكماً: يمكن إلغاؤها دون التأثير على المستخدمين البشر، ولا تحمل أذونات الحساب الشخصي، وتُنشئ سجلات تدقيق واضحة. يجب على أي منصة إعلانية شرعية استخدام رموز مستخدم النظام أو تدفقات مبنية على OAuth بدلاً من طلب رموز المستخدم الشخصية.

عمر الرمز وآليات التجديد

من المفاهيم الخاطئة الشائعة أن الرموز تنتهي بسرعة وبالتالي تشكل خطراً محدوداً. الواقع أكثر تعقيداً:

• الرموز قصيرة الأجل: حوالي ساعة واحدة. خطر منخفض نسبياً إذا تم اعتراضها، لكن يمكن استبدالها برموز طويلة الأجل من قبل أي شخص يمتلكها مع سر التطبيق.
• الرموز طويلة الأجل: حوالي 60 يوماً. النوع القياسي من الرموز الذي تستخدمه معظم الأدوات الإعلانية. ستون يوماً من الوصول غير المقيد أكثر من كافٍ لاستنزاف ميزانية إعلانية من سبعة أرقام.
• رموز الصفحة غير المنتهية: صالحة حتى يتم إلغاؤها. تستمر عبر تغييرات كلمات المرور وحتى بعض إجراءات أمان الحساب.
• رموز مستخدم النظام: لا تنتهي أبداً. محدودة بأصول مدير الأعمال. يمكن إلغاؤها فقط من خلال إعدادات مدير الأعمال.

النقطة الحرجة: تغيير كلمة مرور فيسبوك لا يُبطل رموز الوصول النشطة. إذا تم اختراق رمز، يجب عليك إلغاؤه صراحةً من خلال إعدادات تطبيقات فيسبوك أو مدير الأعمال.

الوصول المبني على الكوكيز: التهديد الأعمق

كيف تعمل كوكيز جلسة فيسبوك

بينما توفر الرموز وصولاً على مستوى API، توفر الكوكيز شيئاً أخطر: وصولاً كاملاً على مستوى جلسة المتصفح لحسابك على فيسبوك، لا يمكن تمييزه عن كونك مسجل الدخول فعلاً.

ملفا تعريف ارتباط حرجان:

c_user: يحتوي على معرّف فيسبوك الرقمي الخاص بك. ليس سرياً بذاته — معرّف المستخدم شبه عام — لكنه يعمل كنصف المعرّف من زوج المصادقة.

xs: كوكيز مصادقة الجلسة. هذا هو بيان الاعتماد الفعلي. مع c_user، يمثل جلسة فيسبوك مصادق عليها بالكامل. أي شخص يمتلك كلا الكوكيز يمكنه استيرادهما إلى أي متصفح والحصول فوراً على وصول كامل لحسابك.

لماذا يتجاوز استيراد الكوكيز المصادقة الثنائية

هذا هو الجزء الذي يُثير قلق معظم المعلنين عندما يفهمونه لأول مرة: اختطاف الجلسة المبني على الكوكيز يتجاوز المصادقة الثنائية تماماً.

إليك السبب. المصادقة الثنائية (2FA) هي إجراء أمني عند تسجيل الدخول. تتحقق من هويتك عند إنشاء جلسة جديدة. لكن عندما يستورد شخص ما كوكيز c_user وxs الخاصة بك، فهو لا يُنشئ جلسة جديدة — بل يستأنف جلستك الحالية المصادق عليها مسبقاً. من منظور فيسبوك، يبدو هذا مطابقاً لفتحك تبويبة متصفح جديدة. تم التحقق من الجلسة بالفعل بـ 2FA عندما سجلت الدخول في الأصل.

هذا ما يجعل متصفحات مكافحة الكشف وأدوات استيراد الكوكيز خطيرة للغاية. إنها لا تتجاوز شاشات تسجيل الدخول فحسب — بل تتولى هويتك المصادق عليها بالكامل. أي شخص لديه كوكيز الخاصة بك يمكنه:

• الوصول إلى كل حساب إعلاني مرتبط بمدير أعمالك
• تعديل إعدادات مدير الأعمال (إضافة مستخدمين، إعادة تعيين أصول)
• تغيير إعدادات أمان حسابك (تعطيل 2FA، تغيير البريد الإلكتروني/الهاتف)
• الوصول إلى محادثات Messenger وصناديق بريد الصفحات
• تنزيل صادرات البيانات والأكواد الاحتياطية

كيف تُسرق الكوكيز

أكثر طرق سرقة الكوكيز شيوعاً في صناعة الإعلانات:

1. إضافات المتصفح الخبيثة: الإضافات ذات الأذونات الواسعة يمكنها قراءة الكوكيز من أي نطاق بما في ذلك facebook.com. لا يرى المستخدم أي مؤشر على أن كوكيز الخاصة به قد تم تسريبها.

2. برامج سرقة المعلومات: عائلات البرامج الضارة مثل RedLine وRaccoon وVidar تستهدف قواعد بيانات كوكيز المتصفح تحديداً. تستخرج الكوكيز من Chrome وFirefox وEdge ومتصفحات أخرى، وتحزمها وترسلها إلى خوادم القيادة والتحكم. تُباع الكوكيز المسروقة بالجملة على قنوات Telegram وأسواق الويب المظلم.

3. التصيد مع التقاط الجلسة: هجمات التصيد المتقدمة تستخدم أدوات وكيل عكسي مثل Evilginx لاعتراض كوكيز الجلسة الفعلية في الوقت الحقيقي أثناء تسجيل الضحية الدخول عبر صفحة تسجيل دخول مزيفة. تلتقط حتى الجلسات المحمية بـ 2FA.

4. المشاركة الطوعية عبر أدوات المنطقة الرمادية: العديد من الأدوات الإعلانية غير الرسمية تطلب صراحةً من المستخدمين تصدير ومشاركة كوكيز فيسبوك الخاصة بهم. يفعل المستخدمون ذلك طوعاً لأنهم لا يفهمون أنهم يسلمون وصولاً كاملاً للحساب. راجع تحليلنا حول كيفية عمل أدوات فيسبوك الرمادية لمزيد من التفاصيل.

اختراق إضافة AdsPower لـ Chrome: دراسة حالة

ما الذي حدث

في يناير 2024، تعرض AdsPower — أحد أكثر متصفحات مكافحة الكشف استخداماً في صناعة التسويق بالعمولة وشراء الوسائط — لهجوم على سلسلة التوريد عبر إضافة Chrome الخاصة به. كان الحادث عرضاً صارخاً لما يحدث عندما يضع المتخصصون في الإعلانات ثقة مفرطة في أدوات لديها وصول عميق على مستوى المتصفح.

تكشّف الهجوم من خلال تحديث مخترق للإضافة. إضافة AdsPower لـ Chrome، التي تطلبت أذونات متصفح واسعة للعمل كأداة مكافحة كشف، تلقت تحديثاً روتينياً يحتوي على كود خبيث. لأن المستخدمين كانوا قد منحوا الإضافة بالفعل أذونات واسعة — وصول لجميع المواقع، قدرة على قراءة وتعديل الكوكيز، قدرة على اعتراض طلبات الويب — لم يُطلق التحديث الخبيث أي مطالبات أذونات إضافية.

الآلية التقنية

استهدف الكود المحقون تفاعلات محافظ العملات المشفرة تحديداً. عندما يبدأ المستخدم معاملة في محفظة العملات المشفرة المبنية على المتصفح (MetaMask مثلاً)، اعترضت الإضافة المخترقة طلب توقيع المعاملة وعدّلت عنوان المحفظة المستهدفة بصمت إلى عنوان يتحكم فيه المهاجم. يرى المستخدم العنوان الصحيح على الشاشة لكن معاملة البلوكتشين الفعلية ترسل الأموال إلى محفظة مختلفة.

يُقدّر أن 4.7 مليون دولار من العملات المشفرة سُرقت قبل اكتشاف الهجوم وإزالة الإضافة.

لماذا يهم هذا للمعلنين

اختراق AdsPower ذو صلة بكل مشتري وسائط لثلاثة أسباب:

أولاً، أثبت أن إضافات متصفحات مكافحة الكشف أهداف عالية القيمة. هذه الأدوات، بطبيعة تصميمها، تتطلب أكثر أذونات المتصفح اقتحاماً. تحتاج لتعديل الكوكيز وتغيير بصمات المتصفح واعتراض الطلبات وحقن السكربتات. نفس هذه الأذونات تجعلها نواقل هجوم مثالية.

ثانياً، أظهر أن هجمات سلسلة التوريد يمكن أن تخترق أدوات يثق بها الملايين. يمكنك تدقيق كود أداة اليوم وتُخترق غداً من خلال تحديث تلقائي. سطح الهجوم ليس ثابتاً.

ثالثاً، أثبت أن الخطر لا يقتصر على الإعلانات. إذا كنت تستخدم متصفح مكافحة كشف لعملياتك الإعلانية، فأي نشاط حساس آخر في بيئة المتصفح تلك — المعاملات المصرفية، العملات المشفرة، البريد الإلكتروني، حسابات الأعمال الأخرى — معرّض أيضاً. نفس الإضافة التي تدير بصمات متصفحك يمكنها قراءة كوكيز مصرفك، والتقاط جلسات بريدك الإلكتروني، والوصول إلى أي خدمة مصادق عليها في المتصفح.

OAuth الرسمي مقابل استخراج الرموز: اختلاف جوهري

كيف يعمل OAuth (الطريقة الآمنة)

عندما تحتاج منصة إعلانية شرعية إلى الوصول لحساباتك الإعلانية على Meta، تستخدم تدفق تفويض OAuth 2.0 الرسمي من Meta:

1. تنقر على "الاتصال بفيسبوك" في المنصة
2. يُعاد توجيهك إلى نطاق Meta الرسمي (facebook.com)
3. تُعرض لك الأذونات المحددة التي يطلبها التطبيق
4. توافق على الأذونات المحددة التي تشعر بالراحة تجاهها
5. تصدر Meta رمزاً مباشرة للتطبيق — لا تراه أو تتعامل معه أبداً
6. الرمز محدود فقط بالأذونات التي وافقت عليها
7. يمكنك إلغاء الوصول في أي وقت من إعدادات فيسبوك

يوفر هذا التدفق عدة خصائص أمنية حرجة:

• أذونات محدودة النطاق: يحصل التطبيق فقط على الأذونات المحددة التي وافقت عليها. إذا منحت ads_read فقط، لا يمكن للتطبيق تعديل حملاتك.
• وصول قابل للإلغاء: يمكنك إلغاء وصول التطبيق فوراً من إعدادات فيسبوك > التطبيقات ومواقع الويب، ويصبح الرمز غير صالح فوراً.
• سجل تدقيق: تسجل Meta جميع استدعاءات API التي تتم بالرمز، مرتبطة بالتطبيق المحدد الذي طلبه.
• عدم كشف بيانات الاعتماد: لا ترى أو تنسخ أو تتعامل مع الرمز أبداً. يُنقل مباشرة من خوادم Meta إلى خوادم التطبيق.
• مساءلة التطبيق: التطبيق مسجل لدى Meta، ولديه App ID، وخاضع لسياسات منصة Meta. إذا تصرف بشكل سيئ، يمكن لـ Meta إلغاء وصوله لـ API بالكامل.

كيف يعمل استخراج الرموز (الطريقة الخطيرة)

تستخدم أدوات المنطقة الرمادية نهجاً مختلفاً تماماً:

1. تسجل الدخول إلى فيسبوك في متصفحك
2. تطلب منك الأداة فتح أدوات مطور Chrome (F12)
3. تنتقل إلى تبويبة التطبيق وتجد الكوكيز أو تُجري استدعاء API محدد
4. تنسخ رمز وصول خام أو قيم كوكيز
5. تلصقها في أداة الطرف الثالث

هذا النهج لا يملك أياً من خصائص أمان OAuth:

• لا تقييد للأذونات: الرمز المستخرج يحمل أذوناتك الكاملة، وليس مجموعة فرعية محدودة
• لا آلية إلغاء: الأداة تمتلك الرمز الخام ويمكنها تخزينه ومشاركته واستخدامه حتى بعد محاولتك إلغاء الوصول
• لا سجل تدقيق: استدعاءات API التي تتم برمزك المستخرج لا يمكن تمييزها عن الاستدعاءات التي تجريها بنفسك
• كشف كامل لبيانات الاعتماد: أنت تتعامل مع بيان اعتماد خام، وإذا تم اعتراضه في أي نقطة (الحافظة، لقطة شاشة، إرسال نموذج غير آمن) يمنح وصولاً كاملاً
• لا مساءلة للتطبيق: الأداة غير مسجلة لدى Meta ولا يمكن إيقافها من خلال إنفاذ منصة Meta

كيف تحمي عمليتك الإعلانية

إجراءات فورية

1. دقّق تطبيقاتك المتصلة الآن. انتقل إلى إعدادات فيسبوك > الأمان وتسجيل الدخول > التطبيقات ومواقع الويب. أزل كل ما لا تستخدمه أو لا تتعرف عليه بنشاط. بالنسبة لمدير الأعمال، تحقق من إعدادات الأعمال > المستخدمون > مستخدمو النظام بحثاً عن أي رموز لم تُنشئها.

2. فعّل المصادقة الثنائية على كل حساب يتصل بعملياتك الإعلانية — حسابك الشخصي على فيسبوك، كل مسؤول مدير أعمال، حساب بريدك الإلكتروني، ومسجّل نطاقك. استخدم تطبيق مصادقة (وليس رسائل SMS) للأكواد.

3. توقف عن مشاركة الرموز الخام فوراً. إذا كانت أي أداة في سير عملك تتطلب استخراج ولصق رمز وصول أو كوكيز، فتلك الأداة عبء أمني. انتقل إلى منصة تستخدم OAuth.

4. تحقق من إضافات متصفحك. راجع كل إضافة مثبتة في أي متصفح تسجل فيه الدخول لفيسبوك. أزل أي إضافة لا تحتاجها بشكل مطلق. انتبه بشكل خاص للإضافات التي تطلب الوصول إلى "جميع المواقع" أو "قراءة وتغيير جميع بياناتك على المواقع التي تزورها."

5. استخدم ملفات تعريف متصفح منفصلة. جلسة إعلانات فيسبوك الخاصة بك لا يجب أن تشارك ملف تعريف المتصفح مع التصفح الشخصي أو محافظ العملات المشفرة أو المعاملات المصرفية أو أي أنشطة حساسة أخرى. أنشئ ملف تعريف Chrome مخصصاً لإدارة الإعلانات.

ممارسات أمنية مستمرة

راقب النشاط غير المصرّح. تحقق من سجل النشاط بانتظام بحثاً عن إجراءات لم تقم بها — خاصة تغييرات في إعدادات مدير الأعمال أو حسابات إعلانية جديدة أو حملات غير مألوفة. فعّل تنبيهات تسجيل الدخول في فيسبوك لتلقي إشعارات بنشاط جلسات جديدة.

نفّذ قيوداً مبنية على IP. في مدير الأعمال، فعّل إعداد "طلب المصادقة الثنائية للجميع". بالنسبة لرموز مستخدم النظام، قيّد وصول API بعناوين IP محددة إذا كانت منصتك الإعلانية تدعم ذلك.

بدّل بيانات الاعتماد وفق جدول زمني. يجب تبديل رموز مستخدم النظام كل ثلاثة أشهر على الأقل. راجع وأعد إنشاء الرموز طويلة الأجل بانتظام. إذا غادر أحد أعضاء الفريق أو تم إيقاف أداة، ألغِ جميع الرموز المرتبطة فوراً.

استخدم رموز مستخدم النظام بدلاً من الرموز الشخصية. كلما أمكن، أنشئ مستخدمي نظام في مدير الأعمال لتكامل API. يفصل هذا وصول API عن الحسابات الشخصية، ويتيح تحكماً دقيقاً في الأذونات، ويمكّن من الإلغاء دون التأثير على أي مستخدم بشري.

ثقّف فريقك. كل شخص يلمس حساباتك الإعلانية يجب أن يفهم الأساسيات: لا تشارك الرموز أو الكوكيز أبداً، لا تثبّت إضافات متصفح غير موثوقة، استخدم دائماً تدفقات OAuth الرسمية، وأبلغ عن أي نشاط حساب مشبوه فوراً.

ما يجب فعله إذا شككت في اختراق

إذا كنت تعتقد أن رمزاً أو كوكيز قد تم اختراقه:

1. سجّل الخروج فوراً من جميع الجلسات: إعدادات فيسبوك > الأمان وتسجيل الدخول > أين سجلت الدخول > تسجيل الخروج من جميع الجلسات
2. غيّر كلمة المرور: يُبطل كوكيز الجلسة (لكن ليس جميع أنواع الرموز)
3. ألغِ جميع أذونات التطبيقات: أزل كل تطبيق متصل وأعد تفويض فقط تلك التي تثق بها
4. تحقق من إعدادات مدير الأعمال: ابحث عن مستخدمين جدد أو أذونات متغيرة أو مستخدمي نظام غير مألوفين
5. راجع نشاط الإعلانات الأخير: ابحث عن حملات غير مصرّحة أو تغييرات ميزانية أو تعديلات على المواد الإبداعية
6. فعّل تنبيهات تسجيل الدخول: اضبط إشعارات لعمليات تسجيل الدخول غير المعروفة
7. تواصل مع دعم Meta: إذا رأيت دليلاً على وصول غير مصرّح، أبلغ عنه من خلال مركز مساعدة Meta للأعمال

الصورة الأكبر: لماذا يهم هذا لعملك

المخاطر الأمنية المذكورة هنا ليست تهديدات مجردة — إنها الواقع التشغيلي لصناعة تُطمس فيها الخطوط الفاصلة بين الأدوات الشرعية وخدمات المنطقة الرمادية عمداً في كثير من الأحيان. في كل مرة تشارك رمزاً أو تستورد كوكيز إلى متصفح مكافحة كشف أو تثبّت إضافة لم تتحقق منها بدقة، فأنت تقوم بمقايضة بين الراحة والأمان.

لفهم أعمق لما يحدث عندما تكتشف Meta استخدام أدوات غير مصرّح بها، اقرأ دليلنا حول انتهاكات شروط خدمة Meta وعواقبها. وإذا كنت تستخدم حالياً الإخفاء أو تقنيات التهرب الأخرى، يشرح تحليلنا لـ مخاطر الإخفاء في 2026 لماذا تقترب نافذة هذه الأساليب من الإغلاق بسرعة.

المنصات الإعلانية التي ستبقى وتنمو هي تلك المبنية على وصول API الرسمي وتدفقات OAuth وممارسات أمان شفافة. عصر استخراج الرموز ومشاركة الكوكيز يقترب من نهايته — ليس بسبب حجج أخلاقية، بل لأن المخاطر المالية والتشغيلية أصبحت غير قابلة للدفاع عنها.