السلام عليكم ورحمة الله كل زوار ومتابعي مدونة التقني
أتناء تجولي بالانترنت وجدت موضوع لشخص هده معلوماته :
أتناء تجولي بالانترنت وجدت موضوع لشخص هده معلوماته :
الاسم : خليل شريتح .
.jpg)
العنوان : يطا – الخليل \ فلسطين
المهنة : عاطل عن العمل بسبب الواسطات الي ماكلة الاخضر و اليابس :/
قبل عدة ايام تمكن من التوصل الى ثغرة في برمجية الفيس بوك تمكن مستخدمها من النشر على حائط (بروفايل ) اي مستخدم للفيس بوك حتى لو كان ذلك الشخص هو مارك زوكربرج نفسه .
في نفس اليوم قام بالتبليغ عن الثغرة عبر صفحة تبليغ الفيس بوك لـ whitehat -- www.facebook.com/whitehat
باختصار كتب اليهم شرح عن الثغرة كما انني قام بارسال لهم رابط منشور قام بنشره على حائط سارة جودين , وهي فتاة كانت على علاقة مع مارك زوكربيرج فترة دراستهم الجامعية . وهذه صورة تبين المنشور الذي قام بنشره على حائط سارة.
.jpg)
وقد كان رد شركة الفيس بوكة "مرحبا خليل : انا لا ارى شيئا عندما انقر على الرابط سواء خطأ " طبعا هدا لان المنشور مشترك فقط مع سارة جودين واصدقائها لذلك لا يستطيع هو رؤية المنشور وكان يجب عليه استخدام صلاحياته كموظف امن الفيس بوك . وهذا ما قام باخباره عبر الرد على نفس الرسالة . كما اخبره اننه سوف يقوم بالنشر على حائط مارك زوكربج نفسه لكنه لم ايود ذلك من باب الاحترام
اخبرهم بان حائط سارة مشترك فقط مع اصدقائها , كما وضع صورة تبين المنشور , ولكن كان ردهم " مرحبا خليل : هذه ليست مشكلة برمجية " . رده كان انني لا املك خيارا الان سوا النشر على حائط مارك حتى يرى الجميع ذلك .
بالفعل قام بالنشر على حائط مارك زوكربج , وهذه الصور توضح المنشور وما قام بنشره :
كتب اليه مباشرة عن الثغرة و التبليغات التي ارسلها و ارفق اليه نص اخر رسالة بينi وبين موظفي امان الفيس بوك , كان كل تبليغ يأخذ 24 ساعة على الاقل ليتم الرد عليه , و الدهشة كانت بعد بضع دقائق فقط من نشره على حائط مارك , تلقيى تعليق على صفحته من Ola Okelola وهو مختص هندسة برمجيات في شركة الفيس بوك :
طلب منه ارسال كافة تفاصيل الثغرة على ايميله , اخبره انه لا يثق به ويجب ان يرسل اليه من حساب امان الفيس بوك حتى ياتاكد
لم تمضي سوا دقيقة واحده فقط , ليتم " تعطيل " حسابه الشخصي بداعي ان الفيس بوك يملك صلاحية تعطيل حساب اي شخص بدون ذكر اسباب .
قام بارسال تبليغ ثالث لشركة الفيس بوك مطالبا اياهم بارجاع حسابه باسرع وقت ممكن وفيه بعض تفاصيل ما حدث وهذا نص الرسالة و نص رد شركة الفيس بوك :
Dear Khalil,
Facebook disabled your account as a precaution. When we discovered your activity we did not fully know what was happening. Unfortunately your report to our Whitehat system did not have enough technical information for us to take action on it. We cannot respond to reports which do not contain enough detail to allow us to reproduce an issue. When you submit reports in the future, we ask you to please include enough detail to repeat your actions.
We are unfortunately not able to pay you for this vulnerability because your actions violated our Terms of Service. We do hope, however, that you continue to work with us to find vulnerabilities in the site.
We have now re-enabled your Facebook account.
Joshua
Security Engineer
Facebook
-----Original Message to Facebook-----
From: khalil1828@hotmail.com
To:
Subject: bypass facebook posts to timeline privacy
Name: Khalil Khalil
E-Mail: khalil1828@hotmail.com
Type: privacy
Scope: www
Description: ok , this is the third time i report this bug ,
i know that you guys now know that it’s a bug for sure after
facebook.com/ola deactivate my account which is facebook.com/khalil.iz.sh
i want my account back soon as possible , as i report the bugs for you and i didnt use another fake accounts or test accounts to break privacy .
although my account contains important messages that some of my friends need them back .
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash3/1174822_10200988067716575_1496625129_n.jpg
repro:
this the last post i made before " www.facebook.com/ola " deactivate my account ,
i had no choice after you guys replay twice back again to me that this is not a bug .
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-prn1/543398_10151865722018885_1202186069_n.jpg
-----End Original Message to Facebook-----اخبروه بانهم لن يقوموا بدفع اي مبلغ مادي لانه انتهك قوانين الفيس بوك , كما طلبوا منه الاستمرار في اكتشاف ثغرات جديدة و التبليغ عنها . < اشي اكيد لو انه من سكان امريكا او اوروبا كان قد حصلت على 4 الاف دولار <
قام بتوجيه رد اليهم ولم يصله اي رد مقابل لغاية الان . حيث اخبرهم ان صفحة التبليغ تطلب اثبات للثغرة , ولا يمكن ارسال اثبات دون تطبيق الثغرة و ارفاق فيديو او صورة تبين ذلك . يمكنكم التاكد بالرجوع الى رابط التبليغ .
قام بتسجيل هذا الفيديو يأكد الثغرة التي توصل اليها , تسجيل الفيديو كان بشكل سريع نظرا لانه كان بعد فترة التبليغ الثاني وكان هناك احتمال كبير ان يتم اغلاقها في اي ثانية لذلك من الممكن ان تشاهد اخطاء املائية
بالمختصر المفيد لو كان خليل من سكان امريكا او اوروبا كان قد حصلت على 4 الاف دولار ...
بالمختصر المفيد لو كان خليل من سكان امريكا او اوروبا كان قد حصلت على 4 الاف دولار ...
ليست هناك تعليقات:
إرسال تعليق