حصل الباحث الأمني الهندي Avinash والمعروف أيضاً بإسم ” avicoder ” على مكافأة مالية كبيرة من شركة تويتر Twitter قدرها 10000 دولار أمريكي نظير عثوره على ثغرة برمجية مهمّة تتيح للهاكر الحصول على الكود المصدري لموقع Vine التابع لشركة تويتر .
الخبير المعروف على شبكة الإنترنت بـ ” avicoder ” قام بتحليل النطاقات الفرعية للموقع عبر مجموعة من الأدوات ، وفي الأخير وصل إلى نطاق docker.vineapp.com من خلال موقع Censys.io .
للتذكير فإنّ موقع ” دوكر Docker ” هو عبارة عن منصّة مفتوحة تهدف لإنتاج ونشر وتشغيل التطبيقات الموزّعة ، كما يقدّم خاصية أستضافة ومشاركة الصور عبر الأنترنت للمطوّرين .
الوصول إلى موقع docker.vineapp.com من قبل الباحث عرض رسالة “ private docker registry ” ، لكنّه وجد طريقة للوصول إلى أكثر من 80 صورة مستضافة على الموقع ، ومن بين هته الصور صورة تحمل إسم " vinewww " إكتشف أنّها تحتوي على الكود المصدري لـ Vine ومفاتيح واجهة التطبيقات API keys وعدّة أسرار أخرى .
الباحث الأمني Avinash أخبر تويتر بهته الثغرة عبر منصّة المكافئات والهاكرز الأخلاقي الخاصة بتويتر والمسمّاة HackerOne في 21 مارس 2016 ، لكن شركة تويتر أخذت الوقت الكافي لتحليل مدى خطورة هته الثغرة ، وبتاريخ 31 مارس تحصّلت تويتر على معلومات إضافية وتصحيح لهته الثغرة في غضون 5 دقائق ، وبعد 5 أيّام من هذا التصحيح أعلنت شركة Avicoder أنّها تلقّت مكافأة تقدّر بـ 10080 دولار من تويتر .
إكتشف الهاكرز ذو القبعة البيضاء أو ما يطلق عليهم بـ The white hat hacker عشرة نقاط ضعف أو ثغرات برمجية بتعبير آخر في موقع تويتر منذ سنة 2015 ، لكن معظمهم حصل فقط على بضعة مئات من الدولارات .
في جانفي الماضي اكتشف Avicoder عدّة ثغرات في تطبيق Vine الخاص بنظام الأندرويد ، أحد هته الثغرات تتمثّل في ضعف عرض الصفحات ، والتي تسمح للهاكرز بحقن برمجيات الجافاسكريبت والوصول إلى موارد ومصادر التطبيق ، والثغرة الثانية تتعلّق ببروتوكول الإنتقال الآمن لملفات الوسائط ، والتي تسمح للهاكرز بتنفيذ هجمات ( MITM ) .
قامت شركة تويتر Twitter بإطلاق منصّة المكافآت الخاصة بإكتشاف الثغرات في مواقعها في ماي 2014 ، وتقول الشركة أنّها تلقّت أكثر من 5000 ثغرة مقدّمة من طرف 1600 باحث أمني أو هاكر أخلاقي ، وأعدّت الشركة ما يقارب 15000 دولار أمريكي لتنفيذ واستغلال الثغرات البرمجية عن بعد ، لكن أكبر قيمة حصل عليها باحث امني لحدّ الآن من تويتر وصلت لـ 12040 دولار .
مدونة ميدو للمعلوميات @2016
