اكتشف ثغرة أمنية بتطبيق فيس بوك وحصل على 10 آلاف دولار.. الباحث المصري سيد عبد الحفيظ يتحدث إلى "اليوم السابع": بدايتى كانت فى 2017 وأول مكافأة 20 يورو.. ووجدت ثغرات بـ "تيك توك" وتليجرام وياهو

الخميس، 08 أكتوبر 2020 05:43 م
اكتشف ثغرة أمنية بتطبيق فيس بوك وحصل على 10 آلاف دولار.. الباحث المصري سيد عبد الحفيظ يتحدث إلى "اليوم السابع": بدايتى كانت فى 2017 وأول مكافأة 20 يورو.. ووجدت ثغرات بـ "تيك توك" وتليجرام وياهو الباحث الأمنى المصرى الشاب "سيد عبدالحفيظ"
كتب مؤنس حواس

مشاركة

اضف تعليقاً واقرأ تعليقات القراء

منحت شبكة التواصل الاجتماعى فيس بوك مؤخرًا الباحث الأمنى المصري سيد عبدالحفيظ مكافئة تبلغ قيمتها 10 آلاف دولار، وذلك عقب تمكنه من اكتشاف ثغرة أمنية فى ميزة تنزيل تطبيق فيس بوك على منصة أندرويد، والتى يمكن استغلالها لشن هجمات وتنفيذ التعليمات البرمجية عن بُعد (RCE).

الباحث الأمنى الشاب

فى حديثه مع اليوم السابع، قال "عبدالحفيظ" الذى لم يتجاوز عمره السابعة عشر، أنه لا يزال يدرس في المرحلة الثانوية العامة، وأنه يعمل حاليا على اكتشاف الثغرات الأمنية في مواقع وتطبيقات الهواتف، وهو ما يعرف بـ "Bug Hunting" على حد وصفه، مشيرا إلى أنه يعمل بشكل جزئي، ويكون هناك جوائز يحصل عليها في المقابل جراء اكتشاف هذه الثغرات في أغلب الأوقات، مشيرا إلى أنه حاليا تم قبوله “المركز الوطني المصري للاستعداد لطوارئ الحاسبات والشبكات"EG CERT"، لكن العائق الحالي في الانضمام ليهم كان السن.

9Kwiyr-5 (2)

اكتشاف ثغرة فيس بوك

قال "عبدالحفيظ" في حواره مع اليوم السابع: "فيما يتعلق بثغرة فيس بوك، فقد كان لدي شك في مشكلة تتعلق بخاصية تحميل الملفات داخل الجروبات على تطبيق فيس بوك لمنصة أندرويد، ليتأكد لي بعد ذلك أن ظني في محله، وكما كنت أتوقع فقد كانت هناك ثغرة، لكن مع بعض العقبات التي كان من السهل تخطيها".

وأضاف الباحث الأمني الصغير: "الثغرة من بداية الشغل عليها لحد ما بلغتها فيس بوك استغرقت ما يقارب 4 ساعات، افتكر إني بدأت شغل عليها يوم ٢٩ أبريل الساعة 1 بليل، كتبت التقرير وأرسلته الساعة 6 صباحًا، ليتمكن الفريق الأمنى الخاص بفيس بوك من التحقق من الثغرة في أسرع وقت في حوالي 5-4 ساعات فقط، وكالعادة فريق الفيس بوك معروف من أسرع الفِرق في عملية ال triaging والـ fixing للـ للثغرات الخطيرة والحرجة، ومن أكثرهم خبرة، أنا بس بعتلهم استغلال بسيط جدًا إثبات للصلاحيات اللي تقدر الثغرة توصله بدون تفاصيل كتير".

IPO3XnUx

 

ثغرة فيس بوك

أوضح "عبد الحفيظ" أن الثغرة في الوضع العادي تقدر توصل لكل صلاحيات أبلكيشن "فيس بوك" في الهاتف، مثل: الملفات، الكاميرا، الميكروفون، الإنترنت وأكيد أكونت "فيس بوك"، بجانب لو في جهة قدرت تستخدمها تقدر تستعمل معاها ثغرة في نظام الأندرويد فـتقدر ساعتها الثغرة تعمل أي حاجة في الهاتف المحمول وتعمل كتجسس في الجهاز بشكل دائم".

 

بداية العمل في البحث الأمنى

قال "سيد":" بدايتي في مجال اكتشاف الثغرات كانت في 30 أغسطس 2017، كانت ثغرة XSS في منتدى أسمه elitepvpers، ومكنش عندهم برنامج مكافئات بس أنا حبيت أبلغهم بالثغرة علشان يحلوها ومع ذلك كفئوني بـ 20 يورو، هي مكافأة بسيطة بس طبيعي لأنهم معندهمش برنامج مكافآت".

وأضاف في 28 يوليو 2018 اكتشفت نفس الثغرة بس بخطورة أعلى شوية في موقع Vimeo، كان عندهم بالفعل برنامج مكافأت وكانت المكافأة ساعتها 1500 دولار، ودي كانت بداية تركيزي في المجال واكتشفت بعدها ثغرات كتير جدًا في موقع Vimeo بمكافأت مجزية منهم ثغرة أعلنتها علنًا ونشرت عندها تفاصيل تقنية، وسيناريو الثغرة كان كويس ومُختلف، وحاليًا أنا اكتشفت ثغرات في مواقع وتطبيقات كتير منهم: Yahoo, Pinterest, Telegram, Facebook, Indeed, Magisto, Amazon, etc، TikTok

 










مشاركة

لا توجد تعليقات على الخبر
اضف تعليق

تم أضافة تعليقك سوف يظهر بعد المراجعة





الرجوع الى أعلى الصفحة