تصدّر اختراق فيسبوك على يد الشاب الفلسطيني خليل شريتح، عناوين الأخبار العالمية في عام 2013. وعندما حاول الشاب التواصل مع إدارة فيسبوك، كان الرد صادمًا، والمكافأة لا شيء!
خليل شريتح، فلسطيني متخصص في أمن المعلومات والهاكر، يروي في لقائه مع فاينانشيال فريدوم توداي، تفاصيل اختراق موقع فيسبوك في عام 2013، وكيف كان رد فعل مارك زوكربيج آنذاك.
ما هي أول عملية اختراق قمت بها؟
عندما كنت في بداية تعلم الهاكينغ وأمن المعلومات، كانت وسائل التعلم شحيحة، يوتيوب كان في بداياته، غوغل وفيسبوك أيضًا، فكان الأمر يعتمد على الاجتهاد الشخصي أكثر من اللجوء إلى مصادر تعليمية. اليوم هناك مئات وآلاف المختصين في مجال أمن المعلومات.
اقرأ أيضًا: 60 ألف دولار من فيسبوك لـ «قاسم وباسم»: نحن هاكرز قبّعات بيضاء
كانت البداية مع موقع إلكتروني فلسطيني، حيث لاحظت أنه يحتوي على ثغرة صغيرة، لكنه تسمح بالاستيلاء على الموقع بشكل كامل، لذلك راسلتُ القائمين على الموقع، وعرضتُ عليهم المساعدة، وللأسف الشديد كان ردّهم عبارة عن سطر واحد فقط: “هذا الموضوع سيعرّضك للمساءلة القانونية”، وفي ذلك الوقت قررت التوقف عن فحص المواقع بهذا الشكل.
ما الذي جذبك إلى مجال أمن المعلومات والهاكينغ؟
أحببت هذا المجال، ورأيت فيه هوايتي، وعندما تجتمع الهواية والمهنة في مكان واحد، يبدع الشخص بلا حدود. وقد بدأت تعلم الهاكينع في سن المراهقة، واليوم لدي 22 سنة خبرة في هذا المجال، وكما ذكرت سابقًا أن وسائل تعلم الهاكينغ من قبل كانت شحيحة جدًّا، فاستغرق الأمر سنوات حتى أصبحت قادرًا على اتقان مهنة الهاكينغ، لأن الموضوع يعتمد بشكل أساسي على المجهود والتعلم الشخصي.
ما هي تفاصيل اكتشافك لثغرة في فيسبوك؟
في عام 2013؛ اكتشفتُ ثغرة في فيسبوك تسمح للمستخدم بنشر أي منشور عبر فيسبوك على حساب شخص آخر، بغض النظر ما إذا كان من قائمة الأصدقاء أم لا. وهي ثغرة ليست هينة بالمرة ويمكنها أن تلحق الأذى بالمستخدمين.
عندها تواصلت مع شركة فيسبوك و شرحت لهم الموضوع وأنه أمر خطير جدًا، فجاء الرد بعد 24 ساعة تقريبًا عبر البريد الإلكتروني أن هذه “ميزة” موجودة في فيسبوك، وليست “ثغرة”، فاستغربت من هذا الجواب، وأرسلت إليهم بريدًا آخر أصرّ فيه على أن هذه ثغرة، ودعمت موقفي بصور توضيحية للموضوع، وجاء الردّ أيضًا بعد 24 بنفس الجواب. فأرسلت لهم فيديو مرّة ثالثة، لكنهم لم يقتنعوا وجاء الردّ نفسه.
ألم تحصل على مقابل نظير اكتشافك لثغرة في فيسبوك؟
عندما وجدت أنه لم يتم التجاوب معي بما هو متوقع من إدارة فيسبوك، أرسلت تحذيرًا بأنه في حال عدم تصحيح الخطأ، سأقوم بنشر تفاصيل الثغرة والمحادثة الجارية بيننا عبر حساب مارك زوكربيرج نفسه. ولما لم يصل شيئًا، كتبت مدوّنة باللغتين العربية والإنجليزية شارحًا ما حدث، وداعمًا موقفي بلقطات من المحادثات، واستخدمت الثغرة نفسها لنشر هذه المعلومات على صفحة مارك زوكربيرج، مشيرًا إلى خطورة هذه الثغرة.
تفاعل معي عدد كبير من مستخدمي فيسبوك، من ضمنهم مهندس في فيسبوك يدعى Ola، والذي كتب لي تعليقًا يطلب فيه أن أرسل له المعلومات والتفاصيل عبر البريد الإلكتروني، وطبعًا أنا كخبير في أمن المعلومات، لا أتعامل مع هذا النوع من التعليقات بجدّية، فطلبت منه أن يرسل لي بريدًا من حساب شركة فيسبوك الرسمي، وفجأة بعد 5 دقائق تم إغلاق حسابي على فيسبوك، ووصلتني رسالة من فيسبوك لا أعتقد أن أحدًا تلقاها من قبل، وهي أنهم كشركة فيسبوك قاموا بإغلاق حسابي، وأنهم يملكون الحقّ بإغلاق حساب أي مستخدم على فيسبوك بدون إعطاء أي تفاصيل.
خليل شريتح: للهاكرز 3 قبعات، بيضاء، ورمادية، وسوداء.
ولم أستطع من بعدها فتح حسابي، ووصلني بعدها بثماني ساعات بريد آخر من الشركة يشيرون فيه أنهم ألغوا حسابي لدواعي أمنية، وأنهم كانوا يقومون بمراجعة المعلومات والمنشورات. واكتشفوا بعدها أنني حقًا راسلتهم وحذّرتهم من هذه الثغرة.
وكان جوابهم أنني لا أستحق المكافأة لأنني استخدمتُ هذه الثغرة. وهنا وقعت الإشكالية، فأنا قد راسلتهم بالفعل و حذّرتهم، ولكنهم لم يتحرّكوا إلى أن تحرّكت. و هنا أخذ الموضوع ضجّة عالمية بأنني كخبير أمن معلومات حاولت أن أساعد وأفيد المنصة وهم لم يكافؤني. وأصدر بعدها رئيس قسم المعلومات في فيسبوك تصريحًا بأنهم سيقومون بتغيير هيكلية التبليغ عن الثغرات في فيسبوك وسيرفعون من خبرات العاملين في مجال أمن المعلومات.
هل فتحت هذه الحادثة أمامك فرصًا لإيجاد عمل؟
في الحقيقة نعم، وأنا لم أكن أعمل حينها، فكانت الأخبار المنشورة تحت عنوان “هاكر قبعة بيضاء من فلسطين غير موظف يخترق صفحة مارك زوكربيرج”، وبعدها انفجر البريد الإلكتروني لدي من طلبات التوظيف، بعضها لا يريد أن أجري حتى مقابلة فوظيفتي تنتظرني.
خليل شريتح: هاكرز القبعات البيضاء يستخدمون قدراتهم لاكتشاف الثغرات في أنظمة الشركات دون إلحاق الأذى بها.
وهذا الموضوع خطر في الحقيقة، لأن بعض الشركات قد لا تريد خدماتك، بل تريد استغلال الهالة الإعلامية حولك لتتصدر العناوين. وكنت في صراع مع نفسي، حول ماهي الوظيفة المناسبة؟ وفي النهاية اخترت الوظيفة المقدمة من الجامعة التي درست فيها، لأنها بالنسبة لي كانت الأجدر بالثقة، وعملتُ في قسم أمن المعلومات بها.
ما الذي يميز هاكرز القبعات البيضاء عن غيرهم من الهاكرز؟
يوجد ثلاثة أنواع أساسيين من الهاكرز، هاكر القبعات السوداء، وهم أشخاص سمعتهم سيئة، هدفهم الأساسي هو التحصيل المالي أو إلحاق ضرر بالطرف الآخر. أما هاكر القبعات البيضاء، فهم يستخدمون قدراتهم لاكتشاف الثغرات في أنظمة الشركات من دون إلحاق الأذى بهذه الشركات، ويساعدهم في معرفة معلومات عن الثغرات الأمنية الموجودة لديهم لحماية المستخدمين على هذه المنصات أو حماية الشركات.
اقرأ أيضًا: مع الهوية اللامركزية.. بياناتك في مأمن ضد الاختراق!
وبجانب النوعين الشهيرين، يأتي هاكر القبعات الرمادية، فهم مزيج بين القبعات البيضاء والسوداء، أحيانًا يعملون من أجل الإفادة المالية، وأحيانًا من أجل مساعدة الشركات. أما بالنسبة لي فأنا أنتمي إلى هاكرز القبعات البيضاء، رغم أن هناك العديد من المقالات العالمية التي كتبت أنني هاكر قبعة رمادية، لأنني حاولتُ إفادة فيسبوك لكنني استخدمتُ الثغرة لاختراق حساب مارك زوكربيرج، لكن هذا غير صحيح، أنا لا أستغل نقاط ضعف الشركات للإفادة المالية.
كيف يحمي الشخص نفسه من الاختراقات؟
أغلب اختراق حسابات المستخدمين تعود إلى أخطاء المستخدم نفسه، مثل نسيان البريد الإلكتروني الشخصي أو كلمة المرور، واستخدام سؤال سرّي سهل مثل مكان ميلاد الأم، فيكون الشخص هو قد أعطى بياناته للهاكر بنفسه.
لذلك كخطوة أولى عليك معرفة البريد الإلكتروني الخاص بك وكلمة المرور، ثم يمكنك استخدام خاصية الـ2FA الموجودة على أغلبية المنصات، بإضافة الـAuthentication Applications، أو استخدم رقمك لدعم الحساب. فهذه مميزات موجودة في التطبيقات وعلينا استغلالها. وأعتقد أن هذه الأمور يجب أن يتعلمها الجميع، فثقافة أمن المعلومات هي ضرورية عند استخدام وسائل التواصل الاجتماعي.