يواصل الشاب السوري براء حباب، 27 عاماً، إنجازاته في مجال البرمجيات. اكتشف مؤخرًا ثغرة خطيرة في TikTok تتضمن التلاعب في النسبة المئوية المضافة إلى جولات اللاعب بواسطة مقدمي الهدايا. وهذا يعني أنه إذا أرسل شخص ما للاعبين 1000 نقطة، فسيدفع بنك TikTok تلقائيًا للاعب المبلغ المستحق مقابل 10000 نقطة.
تعتبر هذه الثغرة خطيرة لأن بنك TikTok يدفع مبالغ زائدة للاعبين من حسابه الخاص.
وبعد الحصول على الدليل والعرض المباشر، أنهى مهندس البرمجيات براء البث المباشر وأظهر للجميع أنه تمت إضافة 14200 نقطة إلى حسابه، على الرغم من أن الجولة لم تحصد سوى 1422 نقطة.
وسافر براء إلى واشنطن والتقى بفريق دعم TikTok في مقره بواشنطن لإغلاق الثغرة خلال 72 ساعة. حصل على مكافأة قدرها 10000 دولار، وتمت مشاركة الأخبار على نطاق واسع على TikTok في 7 فبراير.
ويقول براء حباب إنه “يسعى جاهدا من أجل مجتمع محمي من الثغرات البرمجية التي لا نهاية لها في العالم الرقمي”.
يقرأ: فلسطيني يفوز بجائزة مايكروسوفت للعام السادس على التوالي
وسبق أن اكتشف براء في عام 2022 ثغرة خطيرة في الموقع الرسمي لشركة التأمين التابعة لأغلب البنوك المصرية، مثل بنك مصر والبنك الأهلي وبنك القاهرة وبنك أبو ظبي الإسلامي وغيرها.
وكانت الثغرة مرتبطة بالبرمجة النصية المنعكسة عبر المواقع (XSS)، والتي تسمح للمتسللين بحقن “رموز ضارة” في الموقع حتى يصلوا إلى قاعدة البيانات، ثم يوجه قاعدة البيانات لإظهار المعلومات المخزنة فيها على شكل “خطأ” رسالة”. تُستخدم هذه الثغرة لسرقة ملفات تعريف الارتباط أو عنوان الجلسة الفريد لمتصفح المستخدم، والمعروف باسم معرف الجلسة.
وهذه هي الثغرة الثالثة التي اكتشفها المبرمج السوري العبقري براء حباب، كما اكتشفها سابقاً ثغرات أمنية في الفيسبوك في عام 2017، وكتب لهم مراراً لإبلاغهم بالثغرة، لكنهم تجاهلوه. ثم فعل شيئًا لم يتوقعه فيسبوك؛ حيث قام بالدخول إلى العديد من الصفحات العامة والخاصة على موقع فيسبوك، دون معرفة اسم المستخدم أو البريد الإلكتروني أو كلمة المرور، ودون حتى التواصل مع أصحاب الصفحات.
بعد ذلك حاول براء التواصل مرة أخرى مع إدارة فيسبوك لإبلاغهم بهذه الثغرة، لكن دون جدوى. ولم يتلق منهم أي رد، واستمروا في تجاهله. وكملاذ أخير، اتخذ خطوة تصعيدية أخرى ليثبت لهم أنه اكتشف ثغرة بالفعل، وذلك من خلال الدخول إلى حساب ممثل إباحي سوري وكتب تدوينة “لا يشرفنا أنك سوري”!
دخل إلى صفحات عامة أخرى عربية وأجنبية، ليرسل إلى فيسبوك أدلته الجديدة، لكنه قوبل مرة أخرى بالإهمال وعدم الاهتمام. وقرر أن يتحداهم ليثبت لهم صحة اكتشافه، فقام بتسجيل الدخول إلى حساب المؤسس المشارك لفيسبوك، كريس هيوز، وكتب منشورًا باللغتين الإنجليزية والعربية، يقول فيه: “لا يوجد شيء اسمه حماية بنسبة 100%”. هناك دائما ثغرة مفقودة.” واضطرت شركة فيسبوك إلى الاستماع إليه، وكانت لديه وثائق مهمة تمكن من خلالها إقناعهم بوجود ثغرة أمنية في موقعهم الإلكتروني. وقاموا بشكره وعينوه “حارسا أمنيا”، كما أضافوا اسمه إلى قائمة الشرف.
وبعد توظيفه، اكتشف الثغرة الثانية في عام 2018، والتي تسمح له بانتهاك خصوصية ملايين المستخدمين دون علمهم. تمكن من إزالة ثغرة تقنية جديدة تمكن المتسلل من رؤية أي صور أو مقاطع فيديو أو قصص قام المستخدم بتحميلها من فيسبوك على جهازه دون نشرها.
يقرأ: الأونروا تعيد إطلاق مركز خدمات تكنولوجيا المعلومات في غزة
مثل هذا الضعف حساس للغاية بالنسبة لشركة كبيرة مثل فيسبوك لحماية خصوصية مستخدميها وسمعتها، والتي كانت ستتعرض لضجة كبيرة لولا اكتشافها من قبل براء حباب.
يساعد براء الشركات بشكل كبير في ضمان الحماية وأمن المعلومات، كما يساعد الكثير من الأشخاص المتضررين من عمليات الاحتيال على فيسبوك، كما يساعد الأشخاص على استعادة صفحاتهم.
كما يعمل على تقديم محتوى أمن المعلومات لتوعية الناس حول الابتزاز الإلكتروني وخلق مساحة آمنة لجميع الحسابات والشؤون على الإنترنت بشكل عام ومواقع التواصل الاجتماعي بشكل خاص.
براء حباب، شاب خرج من المعاناة، حيث أجبره الوضع في سوريا على ترك دراسته في كلية الهندسة المعلوماتية ومغادرة وطنه مهاجراً، قبل أن يكمل دراسته ويحقق حلمه. إلا أنه تمكن من تحويل هذه اللعنة إلى نعمة، ولم تتحطم أحلامه. وبدلاً من ذلك، حقق شيئًا يفوق أحلامه بالتخرج بشهادة في الهندسة المعلوماتية. لقد اجتهد بمفرده، متحملاً مشاق الشتات وقسوته، وحقق اكتشافات علمية بعيدة كل البعد عن الكثير من التفاصيل النظرية التي لا تزال الجامعات العربية تدرسها. أخذه شغفه بعالم البرمجة إلى أبعد مما كان يتوقع، فعمل بصبر واجتهاد حتى ترك بصمة كبيرة في مجال أنظمة أمن المعلومات.
ولعل قصة نجاح براء حباب ستكون محفزة وملهمة للعديد من الشباب العربي الناجح والطموح، إذ يوجد الكثير منهم في مجتمعاتنا العربية.
رأي: يعمل منتدى الفنون البصرية على تغذية الشباب الفلسطيني في عالم الفن
الآراء الواردة في هذا المقال مملوكة للمؤلف ولا تعكس بالضرورة السياسة التحريرية لميدل إيست مونيتور.
