CAE team

Home اخبار تقنية تويتر تمنح هاكر هندي مكافأة قدرها 10،080 $ لاكتشاف ثغرة أمنية في...

منحت تويتر هدية  للهاكر الذي ينتمي الى قراصنة القبعة البيضاء الهندي قدرت ب 10،080 $ (روبية 6،80،000) لاكتشاف ثغرة أمنية في vine، هو تطبيق عبارة عن  منصة  لمقاطع الفيديو  القصيرة. وكان القرصان، افيناش سينج، قادر على استخدام و استغلال الثغرة  في الوصول إلى مصدر تشفير الخدمات.

ذكر و رفع  سينغ القضية إلى تويتر في شهر مارس المنقضي. وبعد  فترة وجيزة، رقعت و سدت الشركة الثغرة، وقدمت له مكافأة قدرها 10،080 $ من خلال برنامج الذي تقدمه تويتر HackerOne.

سينغ، الذي يشتغل باسم مستعار خاص به “avicoder،” يقول انه قام من قبل باصطياد واكتشاف  15 خلل في تويتر حتى الآن. و قد وجد هذه الثغرة أمنية الاخيرة أثناء التحقيق في نقاط الضعف مع Censys.io، محرك بحث خاص بمسح الشبكة. و اكتشف أنه كان قادرا على تحميل الشفرة المصدرية ل vine بأكمله من خلال صور العامة.

“، كنت قادرا على رؤية شفرة المصدر كاملة في vine، مفاتيح API، ومفاتيح third-party و جميع اسرار الموقع ” كما كتب سينغ على بلوجر. “حتى تشغيل صورة بدون أي تعليمات، ثم السماح لي باستضافة نسخة طبق الأصل من vine محليا(في الشبكة المحلية)”. وبعبارة أخرى، كان قادرا على إنشاء نسخة كاملة من vine، وهو يمكن أن يستعمله في اصطياد جميع المستخدمين لو كان سينغ مخادعا.

تلقى سينغ عدة جوائز من برنامج  تويتر في الماضي. قد اكتشف نقاط ضعف عديدة  مثل نقل الآمن للملفات الوسائط وتخزين أسماء المستخدمين وكلمات المرور على التطبيقvine للاندرويد، وكذلك نقاط الضعف في الحملات الإعلانية لتويتر “.

في وقت سابق من هذا العام، كشفت تويتر أنها دفعت $ 322،420 كجزء من برنامج bug-bounty للباحثين  في الأمنال معلوماتي خلال العامين الماضيين، مع دفع تعويضات متوسطها 835 $. تتراوح دفعات بين مبالغ 140 $ إلى 12040 $ وتكون دائما من مضاعفات 140. تويتر يقوم بسد الثغرة ثم يقم بتقييم مدى خطورتها و على هذا الاساس يقوم بمكافأة الهاكر.

“لقد بدأت بالمشاركة في مختلف VRPs في عام 2015، واصبحت نشطا جدا منذ ذلك الحين،” كما جاء على لسان سينغ “خصوصا في برنامج bug-bounty من تويتر لان استجابتها سريعة ومتفهمة وتقوم بمكافاة الجميع لتشجيعهم”.

تتصدر الهند أيضا قائمة من 127 دولة التي شاركت في البرنامج bug-bounty الخاص بالفيسبوك، والذي يضم أكبر عدد من الباحثين في مجال الأمن المعلوماتي و الكثر حصولا على دفوعات و التي بلغت 48400000 روبية (718،400 $).