تجاوز نظام الحظر في فيسبوك 2014

أنا خليل شريتح، وفي عام 2014، اكتشفت ثغرة أمنية في فيسبوك سمحت لي بتجاوز نظام الحظر (Blocking System). دعني أحكي لك تفاصيل هذا الاكتشاف وكيف أثر على خصوصية المستخدمين، بالإضافة إلى حصولي على مكافأة قدرها 2500 دولار.

كيف اكتشفت الثغرة

أثناء اختباري لنظام الحظر في فيسبوك، لاحظت وجود خلل في آلية التحقق من قوائم الحظر. هذا النظام مصمم لمنع المستخدمين المحظورين من التفاعل مع الشخص الذي قام بحظرهم، لكنني وجدت طريقة تتيح لي إرسال رسائل أو التفاعل مع مستخدم قام بحظري.

لإثبات الثغرة، قمت بتجربة العملية باستخدام حساب اختباري. تمكنت من إرسال رسالة إلى مستخدم قام بحظري، وكذلك التفاعل مع منشوراته دون أي قيود. كان ذلك انتهاكًا واضحًا لإعدادات الخصوصية التي يعتمد عليها المستخدمون لحماية أنفسهم.

إبلاغ فيسبوك ورد فعلهم

بعد التأكد من وجود الثغرة، قمت بإبلاغ فريق الأمن في فيسبوك من خلال برنامج مكافأة الأخطاء (Bug Bounty). قام الفريق بمراجعة تقريري بعناية، وأكدوا أن هذه المشكلة تشكل تهديدًا كبيرًا لخصوصية المستخدمين.

خلال أيام قليلة، أصلحت فيسبوك الثغرة، وتلقيت رسالة شكر منهم على جهودي. كجزء من برنامج المكافآت، حصلت على جائزة مالية قدرها 2500 دولار تقديرًا لمساهمتي في تعزيز أمان المنصة.

الأثر العالمي لهذا الحدث

هذا الاكتشاف كان له تأثير كبير على المستوى العالمي، خاصة فيما يتعلق بحماية خصوصية المستخدمين على وسائل التواصل الاجتماعي. بعد إصلاح الثغرة، تناولت مواقع تقنية عالمية مثل Forbes وEngadget هذا الحدث، مشيرة إلى أهمية أنظمة الحظر كأداة أساسية لحماية المستخدمين من المضايقات أو التفاعلات غير المرغوب فيها.

على الصعيد العالمي، أدى هذا الحدث إلى زيادة الوعي بضرورة تعزيز أنظمة الحماية في المنصات الاجتماعية، خاصة مع تزايد حالات التحرش الرقمي. كما شجع فيسبوك على تحسين آليات الحظر لضمان حماية أفضل للمستخدمين، مما أفاد ملايين الأشخاص حول العالم الذين يعتمدون على هذه الميزة للحفاظ على أمانهم الرقمي.

أشعر بالفخر لأنني ساهمت في جعل فيسبوك مكانًا أكثر أمانًا، وأتمنى أن تكون قصتي دافعًا لك لتكون أكثر وعيًا بأهمية إعدادات الحظر والخصوصية. إذا كنت تشعر بأنك بحاجة إلى حماية نفسك على وسائل التواصل الاجتماعي، أنصحك بمراجعة قوائم الحظر الخاصة بك بانتظام.

تحياتي،
خليل شريتح

Spamming/ flooding Facebook users [friends, friends of friends]  June/2014

note: i will use the name attacker for the user who make tags for others to make this article more clear. 

As we all know that facebook block/ban system designed to protect facebook users at the first place, bypassing or avoid blocking to the limit may cause a lot of problems between millions of users , none of us want to be flooded or spammed as we all hate the mass notifications , we all read what we are interesting in , we like and share some posts and report others if necessary. 

latest days i was making a research about how much facebook block system is efficient ?!

i found that facebook block system is efficient, and highly programmed to avoid mass actions, keep liking or commenting frequently will cause an auto ban for your account.

however, if you are the owner (actions on your account) , block system will not work , for example you can like all your wall posts , or leave comments as much as you want .

but i figured that i can bypass the block to the limit, for example if facebook blocked you from leaving comments after 100 comments you made in less than 5 minutes , i can bypass that to make it 300 comments before being blocked . 

post as pages

in my research i found that if an attacker tagged a user in his page post or comment , the user will get a notification based on the page name.

in this case, users cant know who tagged them, the attacker will stay anonymous .

searching facebook.com/help about page tagging did not lead me to any solution for avoiding anonymous tags . 

here i say anonymous tags because attacker can tag your name in pages that you are not a fan, pages that you did not like, even the attacker may not be one of your friends. 

after knowing facebook rules in tagging, i took the idea and convert it into chrome extension, we can use this extension to flood or spam users in our pages .

facebook block system will take effect after period for the used page, unfortunately the attacker can use different pages every time.

the main problem here is :

Users can not stop the flood which is against their rights.

There is no option for users to prevent the tags, block the page, or stop the notifications.

Flooder attacker is anonymous. 

Bounty : 2500$

The Funny Part For You : 

Total 2014 Bounties was 5500$, however Facebook paid me 6000$, with extra 500$ . 

I emailed them about their transaction mistake, and if i should send them the extra money back, their reply was " its our mistake and the 500$ is yours " .