من بيته في مدينة إسنا بالأقصر، استطاع محمد عبد الباسط النوبي -25 عاما- أن يربح أكثر من عشرة آلاف جنيه في أقل من شهرين بعد اكتشافه ثغرات بموقع التواصل الاجتماعي ‘‘فيسبوك’’ وتواصله مع إدارة الموقع في أمريكا، ليقرروا صرف مكافأتين ماليتين رسميا له.. في انتظار الثالثة.
Symbian Symoh، وهو الاسم الذي يشتهر به ابن الأقصر على ‘‘فيسبوك’’، حيث يتابعه أكثر من 91 ألف متابع، هو مبرمج حر تخرج من كلية السياحة والفنادق بجامعة المنيا منذ خمس سنوات، لكن هوايته الأساسية في البرمجة وشبكات الحواسيب ترجع لعام 1999 حين كان يصمم تطبيقات خاصة على حاسوبه البدائي عبر لغة QBasic وله خبرة تقنية ‘‘متواضعة’’ في مجال أمن المعلومات ارتبطت برغبته في فهم كيفية عمل تقنية Client/Server، ليقوم ببرمجة العديد من أدوات التحكم عن بعد وبعض الأدوات الأخرى الخاصة بمجال الاختراق والحماية، حتى وصل لما هو عليه اليوم.
رحلة ثغراتوعن طبيعة عمله مع’‘فيسبوك’’ فيقول إنه’‘باحث أمني مستقل تم شكري وإضافتي ضمن قائمة الخبراء الأمنيين ذوي القبعات البيضاء whitehat list لكنني لست موظفا هناك بشكل رسمي’’، لكن الجائزة الحقيقية كما عبر عنها’‘سيمبيان’’ هي’‘اعتراف رسمى من فيسبوك بقدراتى على كشف الثغرات والتبليغ عنها بالصورة الصحيحة وعدم استغلالها استغلال سئ، بالطبع سيكون هناك ثقل معنوى ملموس فى السيرة الذاتية الخاصة بى وأنا أعتبر خطوة ادراج اسمي في القائمة خطوه اهم بكثير من المكافأة المادية نظراً لما يتمتع به فيسبوك من شهرة فى العالم”.
يعمل عبد الباسط ببعض المنظمات والمجموعات التقنية مثل صعيدى جيكس ورصد التقنية، كما أن له بعض الأعمال التطوعية كالمشاركة فى تعريب موقع التواصل الاجتماعي’‘تويتر’’، وهو حالياً المدير التقنى ومدير الموارد البشرية فى مجتمع جوجل للأعمال بصعيد مصر والمشرف العام على ترجمة اللغة العربية في تطبيق’‘فورسكوير”.
في موقع’‘فيسبوك’’، يعد عبد الباسط واحدا من ضمن ستة خبراء أمنيين من مصر تلقوا جوائز بعد الكشف عن ثغرات أمنية هم محمد رمضان ومحمد نصار وعبد الرحيم خالد ومحمد فايز البنا ورامي عمر، وخمسة آخرين على مستوى الدول العربية.
منذ أكثر من عامين، دأب عبد الباسط على ارسال مقترحات لتطوير موقع التواصل الاجتماعي الأشهر في مصر أو توضيح مواضع خلل قد تضر تجربة المستخدمين. وبالرغم من أن هذه الشكاوى أو المقترحات لا يتم تطبيقها في الحال، لكن اذا رأت ادارة الموقع أن عددا من المستخدمين يتشاركون اقتراحا بعينه أو يشكون من مشكلة ما موحدة، فيمكن للإدارة أخذها في الاعتبار وقتها.
من خلال قسم خاص بمركز المساعده العامة يسمى بقسم المقترحات، يستطيع أى مستخدم لديه خلفية عادية أن يراسل الإدارة مباشرة بمقترحات للتطوير أو شكاوى. أما بالنسبة للعيوب والأخطاء البرمجية والثغرات، فلها قسم خاص يستطيع الخبراء الأمنيون أن يرسلوا تقاريرهم بما وجدوه من خلال هذا الرابط.
ويشير عبد الباسط إلى أن أول اقتراح أرسله لإدارة’‘فيسبوك’’ كان وضع صورة غلاف أو Cover للجروب واقتراح ضم ميزة إضافة ملفات حتى يتحول الجروب إلى مساحة عمل فعلية وليس مجرد مجموعة للنقاش مع بعض التحسينات مثل عملية البحث عن المنشورات داخل الجروب نفسه لصعوبة الوصول إليها فيما بعد.
أما عن الخطأ البرمجي الأول الذي اكتشفه’‘سيمبيان’’ فكان عند قيام شخص بمتابعته على’‘فيسبوك’’، فقام’‘سيمبيان’’ بالضغط على أيقونة التنبيهات ومن ثم الضغط على التنبيه الخاص بالمتابعة ليجد نفسه داخل قائمة المتابعين الخاصة به، مما دعاه للتركيز أكثر فى الرابط الخاص بصفحة المتابعين والذي ظهر هكذا:
=100000304294463¬if_ids[1]=1637358400¬if_ids[2]=685173931¬if_ids]https://www.facebook.com/symbian.symoh?sk=followers¬if_ids[0]=100000304294463¬if_ids[1]=1637358400¬if_ids[2]=685173931¬if_ids
ليجد ثغرة من نوع URL Manipulation أو التلاعب بالرابط والذي يحتوي على معلومات ومتغيرات لم يتم تغليفها بالشكل الصحيح أحدها هو المتغير notif_ids والذي تسند له أرقام التعريف الخاصة بالملف الشخصي profile id لكل مستخدم قام بمتابعته حسب ترتيب توقيت المتابعة، بحيث يعمل كمؤشر في ترتيب قائمة المتابعين حسب توقيت المتابعة. قام عبد الباسط بعدها بتغيير أحد الملفات الشخصية إلى رقم (4) وهو الرقم الخاص ببروفايل مارك زوكربرج، مؤسس’‘فيسبوك’’، ليضمه إلى قائمة متابعيه أي كأن زوكربرج قام بمتابعته من قبل، ثم نشر عبد الباسط صورة توضح متابعة زوكربرج له على صفحته الشخصية لقياس مدى التفاعل وثقة المتابعين، وهنا يكمن استغلالها في التلاعب لكسب الكثير من الثقة والتوصيات على سبيل المثال.
ثغرتان أخريتان اكتشفهما’‘سيمبيان’’ إحداهما تتعلق بنشر الروابط المحجوبة من قبل’‘فيسبوك’’ والأخرى تتمحور حول خداع المستخدمين بواسطة المنشورات ليكون هناك اسم ورابط وصورة مختلفة للمحتوى المنشور أو البوست عن مضمونه. ويمكن استغلال ذلك فى توجيه المستخدمين العاديين إلى مواقع الاصطياد Phishing وسرقة حساباتهم الشخصية، كما يقول عبد الباسط.
بالنسبة لشاب حياته كلها’‘أونلاين’’، يبقى التعلم في نظر عبد الباسط شيئا ممتعا، فطالما توفر اتصال انترنت وجهاز كمبيوتر يستطيع الانسان عمل أي شئ والتفوق لن يأتي إلا بالتعلم ومحاربة الظروف كما يقول. لا يضيع عبد الباسط وقته هباء، فالشروط الموضحة عبر البرنامج الأمني الخاص بـ”فيسبوك’’ تحفظ لأي خبير أمني يقوم بالتبليغ عن ثغرات حقه في مكافأة مالية إن اتبعها. هذه الشروط موضحة هنا
ويختتم عبد الباسط حواره لـ‘‘المندرة’’ بمقولة يوجهها لكل شخص خارج القاهرة أو داخلها أو في الأماكن معدومة الفرص:’‘المستقبل هو ما تنحته أنت’’.