الاقتصادي - (شبكة قدس) - أعلن خبير أمن المعلومات الفلسطيني الخبير خليل شريتح عن اكتشافه ثغرة أمنية خطيرة على أحد اشهر مواقع التواصل الاجتماعي (لينكدإن) المصنف على أنه أهم شبكة للمحترفين على مواقع التواصل.
وأوضح خليل والذي يشغل منصب امن المعلومات والشبكات في جامعة القدس المفتوحة أن الثغرة التي اكتشفها منذ حوالي الشهر تكمن في إمكانية ادراج منشور جديد بحيث يتم استبدال صفة كود الصورة وتغييرها الى PHP ( بي اتش بي هي من لغات البرمجة الخاصة بتصميم صفحات الانترنت) بسبب ضعف في برمجة فلاتر موقع لينكدان.
وأشار إلى أنه قام بشكل مباشر بمراسلة فريق أمن معلومات في موقع “لينكدان”, وتقديم تقرير أول حول الثغرة يتضمن كيفية استغلال الثغرة وأين تكمن وما تسببه من ضرر للمستخدم، وشمل التقرير أن أضرار الثغرة كانت من خلال جمع بيانات المستخدمين العامة من عنوان “اي بي” وعنوان متصفح ونظام التشغيل…الخ.
وبين أنه وفي نفس اليوم وصله رد من موظف “لينكدان” اسمه “سانجاي” الذي أخبره أنهم سوف يقومون بالتحقيق والرجوع لإعلامه بما سيتم التوصل إليه من التحقيق.
وأوضح أنه “يمكن تحويل الثغرة لتصبح أكثر خطورة على المستخدم، وذلك من خلال إدراج أكواد PHP الخاصة بعملية طلب التحقق قبل الدخول.
وتكمن الخطورة هنا في حال قام المستخدم بإدراج بيانات تسجيل دخول حسابه، حيث أن الصورة السابقة تظهر تلقائيا في حال كان المستخدم لم يقم بتسجيل الدخول إلى لينكدان، وتظهر بعد النقر على الصورة في حال كان المستخدم قام مسبقا بعملية تسجيل دخول إلى حسابه في لينكدان، وقال: “مباشرة قمت بإرسال تقرير جديد إلى فريق أمن معلومات الموقع يحتوي فيديو إثبات استغلالها”.
وبين أنه في 25/نوفمبر تلقى ردا من “سانجاي” أعلمه فيه أنها ليست ثغرة أمنية نظرا لأنها تتطلب تدخل المستخدم (النقر على الصورة) حتى يتم تفعيلها.
وبعد وصول رد “سانجاي” قمت بمراسلته ثانية وإعلامه بطريقة استغلالها والتاكيد انها ثغرة امنية و ارفقت له فيديوهات تثبت تطبيقها على متصفح انترنت اكسبلورر على وندوز 7 ، و فيديو اخر يثبت تطبيقها على متصفح كروم و متصفح دولفين على اجهزة الجوال.
وقال: “هي فعلا ثغرة أمنية تؤثر على المستخدمين حتى لو تطلب ذلك النقر على الصورة، فكما نعلم يمكن خداع أي مستخدم في صورة تظهر كأنها صورة مصغرة لتشغيل فيديو، وأيضا الثغرة تعمل تلقائيا لكافة مستخدمي موقع لينكدان الذين لم يقومو بعملية تسجيل الدخول إلى حساباتهم. (مرفق في الاسفل فيديوهات عملية توضح استغلال الثغرة):
ولكن سانجاي قام بالرد مجددا وأكد على أنها ليست ثغرة أمنية لأن المستخدم يحتاج إلى نسخ رابط المنشور والدخول إليه كعنوان موقع.
وبين، “توالت الإيميلات بيني وبين سانجاي، أرسلت إليه أكثر من فيديو يوضح استغلال الثغرة بطرق مختلفة، وبعد ثلاث أسابيع من المراسلات ولم يعترف بها فريق أمن لينكدان بأنها ثغرة أمنية، وبعد وقت قصير قمت بمراسلة موقعين عربيين أولا (لم يتم الرد حينها) وموقعين أجنبيين آخرين، حيث وصلني رد من توم وورين الذي يعمل في “ذا فيرج”، طلب مني بعد معرفة التفاصيل أن أطبقها على متصفح “سافاري” لأجهزة الماك للتأكد إن كانت تعمل أم لا، وفعلا قمت بتطبيقها على الماك وكانت النتيجة أنها تعمل، قمت بإرسال الفيديو التالي يثبت العملية:
وأكد على أنه وخلال أقل من 24 ساعة وصلني رد من سانجاي يخبرني فيه أنهم بعد إلقاء نظرة أخرى تبين أنها ثغرة أمنية وهم في صدد معالجتها، بعدها بيوم وصلني رد من سانجاي مجددا يعلمني أنهم قامو بمعالجتها وطلب مني التأكد أنه تم معالجتها بشكل سليم.