مبرمج مصري يكتشف ثغرة أمنية في فيس بوك

مكافاة ثغرة فيس بوك

حصل المبرمج محمد عبد الباسط النوبي على مكافأة من فيس بوك نتيجة إبلاغه عن ثغرة اكتشفها في الموقع تمكن المستخدم وبعد التلاعب برابط صفحة معينة أن يعرض أي شخص يريده على أنه يتابعه.

والبداية كانت عندما قام أحدهم بمتابعة محمد على فيس بوك، وبعد أن ضغط على أيقونة التنبيهات ثم على التنبيه وجهه الموقع إلى قائمة المتابعين، لكن بالتدقيق في رابط الصفحة اكتشف محمد أنه يحوي معلومات ومتغيرات لم تغلف بشكل صحيح منها رقم تعريف الملف الشخصي لكل مستخدم قام بمتابعته حسب توقيت المتابعة.

وهذا المتغير يعمل كمؤشر لترتيب قائمة المتابعين حسب توقيت المتابعة، وحاول بعدها أن يغير أحد الأرقام إلى الرقم 4 وهو رقم ملف المستخدم لمؤسس فيس بوك مارك زوكربيرغ، وما حدث أن الصفحة التي ظهرت وضعت حساب مارك وكأنه متابع لحساب محمد عبد الباسط.

وبعد تأكده من الثغرة قام بإرسال رسالة إلى فيس بوك وحصل نقاش مع المسؤول عن التحقيق في الثغرة كما و قدم دليل يثبت صحة إدعائه حتى قبل بالثغرة.

وتدعى هذه العملية التي قام بها محمد url manipulation وهذا شيء خطير أمنياً يمكن أن يسبب مشاكل وذلك بسبب عدم التحقق من طرف المخدم عما إذا كان مارك زوكربيرغ فعلاً من متابعي محمد على فيس بوك أم لا.

وأخيراً بعد تأكد فيس بوك من حقيقة الثغرة تمت مكافأته بمبلغ 500 دولار وتم إغلاق الثغرة.

ويعمل محمد كمبرمج حر في العديد من المنظمات التطوعية منها صعيدي جيكس، كما وعمل كمترجم في موقع تويتر ويشرف حالياً على قسم الترجمة للغة العربية في تطبيق شبكة فورسكوير الإجتماعية.

نبارك لمحمد حصوله على المكافأة واقتناع فيس بوك بالثغرة ولم يفعلوا معه كما حصل مع الباحث الأمني الفلسطيني خليل شريتح الذي اكتشف ثغرة أخطر تجعله يكتب على حائط شخص لا توجد بينه علاقة صداقة، لكن رفض فيس بوك مكافأته وبرر ذلك بأن طريقة إثباته للثغرة غير ملائمة حيث لم يكن يفترض عليه تجربتها على حساب حقيقي.

  • wael swalqah

    الاعتراف اهم اشي نبارك للاخ محمد والى الامام يا باشا

تعليقات عبر الفيسبوك