مصري يكتشف ثغرة أمنية في فيسبوك!

بالعادة لا يتم عرض معلومات مشرفو صفحة في الفيسبوك إلا إذا اختار المشرفون عرض ملفاتهم الشخصية في معلومات الصفحة.

ومع ذلك، هناك بعض الحالات التي قد ترغب كمستخدم في الاتصال بمسؤول صفحة في الفيسبوك أو ترغب في معرفة من هو صاحب الصفحة.

اكتشف الباحث الأمني المصري محمد أ. باسط ضعف شديد في فيسبوك حيث تستطيع وبسهولة الكشف عن معلومات مسؤولي صفحة في الفيسبوك وعرض ملفاتهم الشخصية والتي لا يفترض أن تكون معلومات عامة.

وادعى باسط أنه اكتشف الضعف في أقل من 3 دقائق دون أي ادوات او برامج، أو أي نوع آخر من العمليات التي تستغرق وقتا طويلا.

وقال باسط انه وجد الضعف الامني عندما عمل اعجاب لمنشور في احدى الصفحات وقام مسؤول الصفحة بدعوة باسط للاعجاب بالصفحة.

وقد أدخلت فيسبوك ميزة لمديري الصفحات حيث يمكنهم إرسال دعوات اعجاب بالصفحة للمستخدمين او إذا كانوا يرغبون بالاعجاب بصفحاتهم وبعد بضعة أيام من دعوة الاعجاب، قد يتلقى هؤلاء المستخدمين رسالة بريد إلكتروني تذكرهم بالدعوة.

بعد تلقي باسط دعوة البريد الاكتروني من هذا القبيل، فتح ببساطة خيار “إظهار الأصل” من القائمة في البريد الإلكتروني. وبالنظر إلى شفرة المصدر للبريد الإلكتروني، لاحظ أنها تتضمن اسم مسؤول الصفحة وبعض التفاصيل الأخرى.

وبعد ذلك أبلغ الباحث على الفور عن هذه المسألة إلى فريق أمن فيسبوك من خلال برنامج المكافآت Bugcrowd bug bounty program. واعترفت الشركة بالخلل وحصل باسط على $ 2،500 مكافأة لاكتشافه الثغرة الامنية.

حيث بينت فيسبوك انها قامت بمعالجة الخلل ولن تتكرر هذه الثغرة في المستقبل.