شابٌ سوريٌّ يكتشفُ ثغرةً حرجةً لشركةِ تأمينِ أغلبِ البنوكِ المصريةِ
استطاع الشاب السوري “براء حبّاب”، البالغ من العمر الخامسة والعشرين اكتشافَ ثغرةً حرجة “Critical”، في الموقع الرسمي لشركة تأمين أغلب البنوك المصرية، مثلَ بنك مصر والأهلي وبنك القاهرة وبنك أبو ظبي الإسلامي وغيرِهم.
الثغرة من نوع Cross-site scripting (XSS) Reflected، وهي تسمح للمخترق بحقنِ “أكواد خبيثة” في الموقع حتى يصلَ إلى قاعدة البيانات، ويطلب من قاعدة البيانات إظهارَ المعلومات المخزّنة فيها على شكلِ “رسالة خطأ”!
تُستخدَم هذه الثغرة في سرقة ملفّاتِ الارتباط “Cookies” أو العنوان الفريد للجلسة الخاصة بمتصفّح المستخدم “Session ID”..
تعتبر هذه الثغرةُ الثالثة التي يكتشفها المبرمِجُ الدمشقي براء حباب، إذ سبق أنْ اكتشف ثغراتٍ أمنيّة في فيس بوك عام 2017، وراسل الشركة لإبلاغها بذلك، فتجاهلته، لكنَّه تحدّى القائمين عليها في إثبات صحة ما اكتشفه من بيته، وذلك عندما اخترق حسابَ أحدِ مؤسسي شركة فيس بوك وكتب عبارة بالعربية والإنكليزية جاء فيها: “لا يوجد شيء اسمه حماية 100%، إذ سيظل هنالك شيء ناقصٌ دوماً”.
ما دفع شركةَ فيس بوك للاستماع لهذا الشاب والاطلاعَ على وثائقه المهمّة التي تمكّن من خلالها إقناعَهم بأنَّ لديهم ثغرةٌ أمنية على موقعهم الإلكتروني، فما كان منهم إلا أنْ شكروه ووظّفوه لديهم بصفة: “حارس أمني” إلى جانب إضافةِ اسمه للوحة الشرف لديهم.
وبعد حصوله على تلك الوظيفة، اكتشف حباب نقطةً حساسة أخرى في عام 2018، أتاحت له انتهاكَ خصوصية ملايين المستخدمين من دون علمِهم، حيث تمكَّن من إزالة ثغرةٍ تقنية جديدة تساعد من يقرصنُ على مشاهدة أيّ صورة أو مقطع فيديو أو قصة يقوم المستخدم بتحميلها من فيس بوك على جهازه دون أنْ يقومَ بنشرها.
وتعتبر نقطةُ الضعف تلك حساسةً للغاية بالنسبة لشركة كبيرة مثل فيس بوك فيما يتصل بحماية خصوصية المستخدم، وبسمعتها هي أيضاً، لأنَّ ذلك يمكن أنْ يتسبّبَ بموجة انزعاج كبيرة بين صفوف المستخدمين، هذا إنْ لم يكتشفها ذلك العبقري الشاب براء حباب.
كما يقدّم براء مساعدةً جليلة للشركات على تأمين مسألة حمايةِ المعلومات وأمنِها، كما ساعد الكثيرَ من الأشخاص الذين تعرّضوا للاحتيال على صفحاتهم الرسمية عبرَ فيس بوك على استرجاع حساباتهم.
ويعمل براء أيضاً على تقديم محتوى حول أمنِ المعلومات لتثقيف الناس حول الابتزاز الإلكتروني، ولخلقِ فضاءٍ آمنٍ لكلِّ حساباتنا وشؤوننا عبرَ الشابكة بالعموم، ولمواقع التواصل الاجتماعي على وجه الخصوص.
