نجح المهندس المصري من مدينة الأقصر، محمد عبد العاطي في اكتشاف ثغرات أمنية في موقع "فيسبوك"، وكافأته إدارة الموقع وتم وضعه في قائمة الشرف الخاصة بالباحثين الأمنيين لعام 2020.

وأكد المهندس عبد العاطي، أنه تم تكريمه بعد أن اكتشف مشكلة أمنية في أحد عناصر البنية التحتية التي تقوم الشركة باستخدامها وتسمح باستخراج بعض المعلومات عن النظام الداخلي لخوادم "فيسبوك".

وقال إنه أبلغ إدارة الموقع عن الثغرة أثناء فترة الحظر المفروض بسبب وباء كورونا، حيث تواصل مع فريق "فيسبوك" أكثر من مرة لمراجعة التفاصيل الفنية الخاصة بالثغرة بشكل دقيق قبل أن يتم إغلاق الثغرة وتسجيله في قائمة الشرف.

والجدير بالذكر أن "فيسبوك" من المواقع التي تسمح لمكتشفي الثغرات الأمنية بالبحث عن الثغرات فيه وإبلاغها للموقع بدون استغلالها بشكل مضر للموقع أو المستخدمين.

ويتم إدراج مكتشفين الثغرات في قائمة شرف يتم تحديثها بشكل سنوي.

وأشار عبد العاطي إلى أنه قد سبق له الإبلاغ عن ثغرات مختلفة في موقع "فيسبوك"، وهي المرة الرابعة التي تم إدراج اسمه في قائمة الشرف.

وكان قد عثر الباحث الأمني المصري، سيد عبد الحفيظ، على ثغرة أمنية في ميزة تنزيل تطبيق "فيسبوك" على منصة أندرويد، والتي يمكن استغلالها لشن هجمات وتنفيذ التعليمات البرمجية عن بُعد (RCE).

وهو ما دفع "فيسبوك" لمنح هذا الباحث 10 آلاف دولار مقابل العثور على الخطأ، حيث يستخدم تطبيق "فيسبوك" على أندرويد طريقتين لتنزيل الملفات من مجموعة، خدمة أندرويد مضمنة تسمى Download Manager وطريقة ثانية تسمى Files Tab.

وبحسب موقع "TOI" الهندي، فقد اكتشف عبد الحفيظ خللا في عملية التحميل بالطريقة الثانية.

وقال في منشور على موقع Medium: "اكتشفت وجود خطأ ACE على فيسبوك لنظام أندرويد يمكن فرزه من خلال ملف تنزيل من مجموعة Files Tab دون فتح الملف".

وقد كانت الثغرة الأمنية في الطريقة الثانية، وبينما تم تنفيذ الإجراءات الأمنية على جانب الخادم عند تحميل الملفات، كان من السهل تجاوزها.