مهندس أقصرى يكتشف ثغرة أمنية بـ فيس بوك.. و"مارك" يكرمه

نجح المهندس الأقصرى محمد عبد العاطى فى اكتشاف ثغرات أمنية على موقع "فيس بوك"، وكافأته إدارة الموقع وتم وضعه فى قائمة الشرف الخاصة بالباحثين الأمنيين لعام 2020، وذلك ضمن الذين تمكنوا من اكتشاف ثغرات أمنية على الموقع عقب نجاحه في اكتشاف ثغرة على موقع التواصل الاجتماعي الشهير.

 

ويقول المهندس محمد عبد العاطى، أنه تم تكريمه من موقع فيس بوك بوضعه فى قائمة الشرف لمكتشفي الثغرات فى الموقع، حيث قام بإكتشاف مشكلة أمنية فى أحد الانظمة البنية التحتية التي تقوم الشركة بإستخدامها وتسمح باستخراج بعض المعلومات عن النظام الداخلي لخوادم الفيسبوك، حيث قام بالبحث والإبلاغ عن الثغرة أثناء فترة الحظر بسبب وباء الكورونا، حيث تواصل مع فريق الفيسبوك أكثر من مرة لمراجعة التفاصيل الفنية الخاصة بالثغرة بشكل دقيق قبل ان يتم اغلاق الثغرة وتسجيله في قائمة الشرف.

 

والجدير بالذكر أن فيس بوك من المواقع التى تسمح لمكتشفي الثغرات الأمنية بالبحث عن الثغرات فيه وإبلاغها للموقع بدون استغلالها بشكل مضر للموقع او المستخدمين، ويتم ادراج مكتشفين الثغرتا فى قائمة للشرف يتم تحديثها بشكل سنوى وسبق لي الإبلاغ عن ثغرات مختلفة فى موقع الفيسبوك حيث تعتبر هذة المرة الرابعة التى يتم فيها إدراج اسمي في قائمة الشرف لمكتشفي الثغرات في الموقع، وهى فى سنوات 2016 و2017 و2018 و2020.

 

وكان قد عثر باحث أمنى على ثغرة أمنية فى ميزة تنزيل تطبيق فيس بوك على منصة أندرويد، والتى يمكن استغلالها لشن هجمات وتنفيذ التعليمات البرمجية عن بُعد (RCE)، وهو ما دفع فيس بوك لمنح هذا الباحث 10 آلاف دولار مقابل العثور على الخطأ، حيث يستخدم تطبيق فيس بوك على أندرويد طريقتين لتنزيل الملفات من مجموعة - خدمة أندرويد مضمنة تسمى DownloadManager وطريقة ثانية تسمى Files Tab، وبحسب موقع "TOI" الهندى، فقد اكتشف الباحث الأمنى سيد عبد الحفيظ، مصرى الجنسية، خللاً فى عملية التحميل بالطريقة الثانية، وقال فى منشور على موقع Medium: "اكتشفت وجود خطأ ACE على فيس بوك لنظام أندرويد يمكن فرزه من خلال ملف تنزيل من مجموعة Files Tab دون فتح الملف، وقد كانت الثغرة الأمنية في الطريقة الثانية، وبينما تم تنفيذ الإجراءات الأمنية على جانب الخادم عند تحميل الملفات، كان من السهل تجاوزها.