ثغرة في تابولا تسرب بيانات عملاء البنوك لشركة تيمو

كشف تقرير جديد عن ثغرة في تابولا تسمح بتتبع عملاء البنوك وتوجيههم سراً إلى تيمو، مما يهدد الخصوصية الرقمية لملايين المستخدمين حول العالم.

بدأت القصة عندما وافق أحد البنوك على استخدام بكسل تتبع من شركة تابولا (Taboola)، ولكن هذا البكسل قام سراً بإعادة توجيه المستخدمين المسجلين دخولهم إلى نقطة تتبع تابعة لشركة تيمو (Temu). حدث هذا دون علم البنك، ودون موافقة المستخدمين، بل والأخطر من ذلك، دون أن تكتشف أي وسيلة حماية أمنية هذا الانتهاك الصارخ، وفقاً لما تابعه فريق تيكبامين.

ما هي تفاصيل ثغرة تابولا التي استهدفت البنوك؟

تعتمد معظم الأنظمة الأمنية الحالية، بما في ذلك جدران حماية تطبيقات الويب (WAF) وأدوات التحليل الساكن، على فحص المصدر المعلن للسكربت فقط. هذه الفجوة الأمنية تُعرف باسم "انحياز القفزة الأولى"، حيث يتم التحقق من النطاق الأول فقط دون النظر إلى الوجهة النهائية لسلسلة الطلبات.

عندما يكون نطاق تابoola مدرجاً في القائمة البيضاء لسياسة أمن المحتوى (CSP)، يعتبر المتصفح الطلب مشروعاً. ومع ذلك، لا يعيد المتصفح التحقق من الوجهة النهائية عند حدوث إعادة توجيه من نوع 302. وبحلول الوقت الذي يصل فيه الطلب إلى نطاق تيمو، يكون قد ورث بالفعل الثقة الممنوحة لشركة تابولا.

لماذا فشلت أدوات الحماية التقليدية في اكتشاف التتبع؟

خلال تدقيق أمني أجري في فبراير 2026 على منصة مالية أوروبية، تم تحديد سلسلة إعادة توجيه تنفذ داخل صفحات الحسابات المصرفية المسجل الدخول إليها. وتتضمن هذه العملية تعليمات محددة للمتصفح تشمل:

• إدراج ملفات تعريف الارتباط (Cookies) في طلبات عابرة للنطاقات.
• تمكين شركة تيمو من قراءة أو كتابة معرفات التتبع.
• ربط هوية المستخدم بزيارته لجلسة مصرفية موثقة.
• تجاوز بروتوكولات الحماية التقليدية عبر سلاسل إعادة التوجيه المعقدة.

ما هي التداعيات القانونية والرقابية لهذه الانتهاكات؟

بالنسبة للمؤسسات الخاضعة للرقابة، فإن عدم وجود سرقة مباشرة لبيانات الاعتماد لا يقلل من مخاطر الامتثال. وحسب تيكبامين، لم يتم إبلاغ المستخدمين مطلقاً بأن سلوكهم في الجلسات المصرفية سيتم ربطه بملف تتبع لدى شركة بي دي دي هولدينجز (PDD Holdings) المالكة لتيمو.

هذا الفشل في الشفافية يمثل انتهاكاً للمادة 13 من اللائحة العامة لحماية البيانات (GDPR). كما أن توجيه البيانات عبر بنية تحتية في دول لا توفر حماية كافية للبيانات، دون وجود عقود قياسية تغطي هذه العلاقة، يجعل عملية النقل غير قانونية بموجب الفصل الخامس من اللائحة. ولا يعتبر عذر "لم نكن نعلم أن البكسل يفعل ذلك" دفاعاً مقبولاً للمؤسسات كتحكم في البيانات بموجب المادة 24.

مخاطر إضافية على معايير أمن البيانات المالية

تتفاقم المشكلة مع التعرض لمعايير PCI DSS الخاصة بأمن بطاقات الدفع. أي سلسلة إعادة توجيه تنتهي عند طرف رابع غير متوقع تقع خارج نطاق أي مراجعة أمنية قيمت المورد الأساسي فقط، وهو بالضبط ما تهدف المتطلبات الأمنية الحديثة إلى إغلاقه ومنع استغلاله.

كيف يمكن للمؤسسات حماية بيانات مستخدميها؟

يؤكد خبراء الأمن الرقمي أن الحل يكمن في فحص سلوك السكربتات أثناء التشغيل (Runtime) وليس فقط الاعتماد على التصريحات المسبقة. في الوقت الحالي، يعمل نفس تكوين بكسل تابولا على آلاف المواقع، مما قد يعني أن بيانات ملايين المستخدمين معرضة لنفس النوع من التتبع الخفي.

لذا، ينصح تيكبامين المؤسسات باتباع الخطوات التالية:

• مراقبة سلاسل إعادة التوجيه الكاملة لجميع السكربتات الخارجية.
• تحديث سياسات أمن المحتوى (CSP) لتكون أكثر صرامة.
• إجراء عمليات تدقيق دورية على الأطراف الثالثة والرابعة في سلاسل توريد البيانات.
• التأكد من توافق كافة أدوات التتبع مع قوانين الخصوصية المحلية والدولية.

في الختام، تظل ثغرة تابولا تذكرة قوية بأن التهديدات الرقمية لم تعد تقتصر على الهجمات المباشرة، بل تمتد لتشمل أدوات التسويق التي نثق بها يومياً.