فلسطيني يكتشف ثغرة في فيسبوك ويستخدمها ضد مارك زوكربيرغ مؤسس الموقع

هذا ما كتبه الفلسطيني خليل شريتح من مدينة يطا الخليل عن اكتشافه ثغره في موقع التواصل الاجتماعي العالمي ” Facebook”
قبل عدة ايام تمكنت من التوصل الى ثغرة في برمجية الفيس بوك تمكن مستخدمها من النشر على حائط (بروفايل ) اي مستخدم للفيس بوك حتى لو كان ذلك الشخص هو مارك زوكربرج نفسه .
في نفس اليوم قمت بالتبليغ عن الثغرة عبر صفحة تبليغ الفيس بوك لـ whitehat —www.facebook.com/whitehat
هذا نص الرسالة التي قمت بارسالها تتضمن الرد الذي حصلت عليه بعد 24 ساعة : -


Hi Ḱhalil,
I dont see anything when I click link except an error.
Thanks,Emrakul
Security
Facebook—–Original Message to Facebook—–
From: kha****@hotmail.com
To:
Subject: post to facebook users wall .
Name: Ḱhalil
E-Mail: khal****@hotmail.com
Type: privacy
Scope: www
Description: dear facebook team .
my name is khalil shreateh.
i finished school with B.A degree in Infromation Systems .
i would like to report a bug in your main site (www.facebook.com) which i discovered it .
repro:
the bug allow facebook users to share links to other facebook users , i tested it on sarah.goodin wall and i got success post
link – > https://www.facebook.com/10151857333098885
—–End Original Message to Facebook—–
باختصار كتبت اليهم شرح عن الثغرة كما انني قمت بارسال لهم رابط منشور قمت بنشره على حائط سارة جودين , وهي فتاة كانت على علاقة مع مارك زوكربيرج  فترة دراستهم الجامعية . وهذه صورة تبين المنشور الذي قمت بنشره على حائط سارة.
فيس بوك
رد شركة الفيس بوك كما توضح الرسالة السابقة كان  “مرحبا خليل : انا لا ارى شيئا عندما انقر على الرابط سواء خطأ ” طبعا كما توضح الصورة فان المنشور مشترك فقط مع سارة جودين واصدقائها لذلك لا يستطيع هو رؤية المنشور وكان يجب عليه استخدام صلاحياته كموظف امن الفيس بوك . وهذا ما قمت باخباره عبر الرد على نفس الرسالة . كما اخبرته انني سوف اقوم بالنشر على حائط مارك زوكربج نفسه لكنني لا  اود ذلك من باب الاحترام كما توضح الصورة التالية :
Ashampoo_Snap_2013.08.13_15h07m19s_002_


تم تجاهل ما قمت بارساله , لذلك قمت بارسال تبليغ جديد
 وهذا نص الرسالة يتضمن رد الشركة : 
Hi Ḱhalil,

I am sorry this is not a bug.
Thanks,

Emrakul
Security
Facebook

-----Original Message to Facebook-----
From: khali***@hotmail.com
To: 
Subject: urgent : post to non friends facebook users wall . 
Name: Ḱhalil
E-Mail: kh***@hotmail.com
Type: privacy

Scope: www

Description: dear facebook team . 
my name is khalil shreateh. 
i finished school with B.A degree in Infromation Systems . 
i would like to report a bug in your main site (www.facebook.com) which i discovered. 
i'am reporting this bug for the second time.
repro:
the vulnerability allow's facebook users to share posts to non friends facebook users , i made a post to sarah.goodin timeline and i got success post 
link - > https://www.facebook.com/10151857333098885 
of course you may cant see the link because sarah's timeline friends posts shares only with her friends , you need to be a friend of her to see that post or you can use your own authority . 
this is a picture shows that post : 
https://fbcdn-sphotos-h-a.akamaihd.net/hphotos-ak-ash4/q71/s720x720/999429_10151857336258885_2061448780_n.jpg
-----End Original Message to Facebook-----
اخبرتهم بان حائط سارة  مشترك فقط مع اصدقائها , كما وضعت صورة تبين المنشور , ولكن كان ردهم ” مرحبا خليل : هذه ليست مشكلة برمجية ” . ردي كان انني لا املك خيارا الان سوا النشر على حائط مارك حتى يرى الجميع ذلك .
 Ashampoo_Snap_2013.08.16_20h45m28s_001_
بالفعل قمت بالنشر على حائط مارك زوكربج , وهذه الصور توضح المنشور وما قمت بنشره
 Ashampoo_Snap_2013.08.15_12h07m59s_002_
Ashampoo_Snap_2013.08.15_12h54m04s_004_
كتبت اليه مباشرة عن الثغرة و التبليغات التي ارسلتها و ارفقت اليه نص اخر رسالة بيني وبين موظفي امان الفيس بوك , كان كل تبليغ يأخذ 24 ساعة على الاقل ليتم الرد عليه , و الدهشة كانت بعد بضع دقائق فقط من نشري على حائط مارك , تلقيت تعليق على صفحتي من Ola Okelola        وهو مختص هندسة برمجيات في شركة الفيس بوك :Ashampoo_Snap_2013.08.15_12h58m56s_006_
يمكنكم مشاهدة التعليق وما قام بكتابته على هذا الرابط :https://www.facebook.com/10151865722018885
طلب مني ارسال كافة تفاصيل الثغرة على ايميله , اخبرته انني لا اثق بك ويجب ان ترسل الي من حساب امان الفيس بوك حتى اتاكد .
لم تمضي سوا دقيقة واحده فقط , ليتم ” تعطيل ” حسابي الشخصي بداعي ان الفيس بوك يملك صلاحية تعطيل حساب اي شخص بدون ذكر اسباب .
قمت بارسال تبليغ ثالث لشركة الفيس بوك مطالبا اياهم بارجاع حسابي باسرق وقت ممكن وفيه بعض تفاصيل ما حدث وهذا نص الرسالة و نص رد شركة الفيس بوك :
Dear Khalil,

Facebook disabled your account as a precaution. When we discovered your activity we did not fully know what was happening. Unfortunately your report to our Whitehat system did not have enough technical information for us to take action on it. We cannot respond to reports which do not contain enough detail to allow us to reproduce an issue. When you submit reports in the future, we ask you to please include enough detail to repeat your actions.

We are unfortunately not able to pay you for this vulnerability because your actions violated our Terms of Service. We do hope, however, that you continue to work with us to find vulnerabilities in the site.

We have now re-enabled your Facebook account.

Joshua
Security Engineer
Facebook
-----Original Message to Facebook-----
From: khalil1828@hotmail.com
To: 
Subject: bypass facebook posts to timeline privacy

Name: Khalil Khalil
E-Mail: khalil1828@hotmail.com
Type: privacy
Scope: www
Description: ok , this is the third time i report this bug , 

i know that you guys now know that it’s a bug for sure after 
facebook.com/ola deactivate my account which is facebook.com/khalil.iz.sh

i want my account back soon as possible , as i report the bugs for you and i didnt use another fake accounts or test accounts to break privacy .

although my account contains important messages that some of my friends need them back .

https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash3/1174822_10200988067716575_1496625129_n.jpg

repro:

this the last post i made before " www.facebook.com/ola " deactivate my account ,
i had no choice after you guys replay twice back again to me that this is not a bug . 

https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-prn1/543398_10151865722018885_1202186069_n.jpg

-----End Original Message to Facebook-----


اخبروني بانهم لن يقوموا بدفع اي مبلغ مادي لانني انتهكت قوانين الفيس بوك , كما طلبوا مني الاستمرار في اكتشاف ثغرات جديدة و التبليغ عنها . < اشي اكيد لو اني من سكان امريكا او اوروبا كان قد حصلت على 4 الاف دولار <
قمت بتوجيه رد اليهم ولم يصلني اي رد مقابل لغاية الان . حيث اخبرتهم ان صفحة التبليغ تطلب اثبات للثغرة , ولا يمكن ارسال اثبات دون تطبيق الثغرة و ارفاق فيديو او صورة تبين ذلك . يمكنكم التاكد بالرجوع الى رابط التبليغ .
قمت بتسجيل هذا الفيديو يأكد الثغرة التي توصلت اليها , تسجيل الفيديو كان بشكل سريع نظرا لانه كان بعد فترة التبليغ الثاني وكان هناك احتمال كبير ان يتم اغلاقها في اي ثانية لذلك من الممكن ان تشاهد اخطاء املائية :

هل أعجبك الموضوع؟؟

التسميات:

ليست هناك تعليقات :

إرسال تعليق

الاشتراك في: تعليقات الرسالة ( Atom )

جميع الحقوق محفوظة لمدونة دروس الويب 2013

Dorosweb