تجاوز نظام CAPTCHA في فيسبوك 2014

أنا خليل شريتح، وفي عام 2014، اكتشفت ثغرة أمنية في فيسبوك سمحت لي بتجاوز نظام الـ CAPTCHA.  فيسبوك قام باغلاق الثغرة في 2015. دعني أحكي لك تفاصيل هذا الاكتشاف وكيف أثر على أمان المنصة، بالإضافة إلى حصولي على مكافأة قدرها 500 دولار.

كيف اكتشفت الثغرة

أثناء اختباري لنظام الأمان في فيسبوك، لاحظت وجود خلل في آلية عمل الـ CAPTCHA، وهي الأداة التي تُستخدم للتحقق من أن المستخدم ليس روبوتًا. هذا النظام مصمم لمنع الروبوتات من التفاعل مع المنصة، لكنني وجدت طريقة تتيح لي تخطي هذا التحقق بسهولة.

لإثبات الثغرة، قمت بتجربة العملية على حساب اختباري. تمكنت من تجاوز الـ CAPTCHA دون الحاجة إلى إدخال أي بيانات تحقق، مما يعني أن أي شخص يستطيع استخدام هذه الثغرة للتفاعل مع المنصة بشكل غير مصرح به.

إبلاغ فيسبوك ورد فعلهم

بعد التأكد من وجود الثغرة، قمت بإبلاغ فريق الأمن في فيسبوك من خلال برنامج مكافأة الأخطاء (Bug Bounty). قام الفريق بمراجعة تقريري، وأكدوا أن هذه المشكلة تشكل خطرًا على أمان المنصة لأنها تسمح للروبوتات أو المهاجمين بالتفاعل بسهولة.

في غضون أيام قليلة، أصلحت فيسبوك الثغرة، وتلقيت رسالة شكر منهم على جهودي. كجزء من برنامج المكافآت، حصلت على جائزة مالية قدرها 500 دولار تقديرًا لمساهمتي في تعزيز أمان المنصة.

الأثر العالمي لهذا الحدث

هذا الاكتشاف كان له تأثير ملحوظ على المستوى العالمي، خاصة فيما يتعلق بأنظمة الأمان المستخدمة لمنع الروبوتات على منصات التواصل الاجتماعي. بعد إصلاح الثغرة، تناولت مواقع تقنية عالمية مثل CNET وTechRadar هذا الحدث، مشيرة إلى أهمية أنظمة الـ CAPTCHA في حماية المستخدمين من الهجمات الآلية مثل السبام أو إنشاء حسابات مزيفة.

على الصعيد العالمي، ساهم هذا الحدث في زيادة الوعي بضرورة تحسين أنظمة التحقق في المنصات الرقمية، خاصة مع تزايد التهديدات السيبرانية. كما دفع فيسبوك إلى تعزيز نظام الـ CAPTCHA الخاص بها، مما جعل المنصة أكثر أمانًا للملايين من المستخدمين حول العالم الذين يعتمدون عليها يوميًا.

أشعر بالفخر لأنني ساهمت في حماية المنصة من التهديدات الآلية، وأتمنى أن تكون قصتي دافعًا لك لتكون أكثر وعيًا بأهمية أنظمة الأمان الرقمي. إذا كنت تستخدم فيسبوك، أنصحك بالإبلاغ عن أي نشاط مشبوه قد يشير إلى وجود روبوتات أو حسابات مزيفة.

تحياتي،
خليل شريتح

This is another vulnerability i reported in 2014 and fixed in 2015, so iam saying its 2015 vulnerability . 

An Explanation of Captchas :

Have you noticed one of those word-in-a-box prompts when trying to send a URL in a Chat or Inbox message, or when posting a URL on a friend’s Wall? These are called captchas. 

Facebook has built a number of automated systems to detect spam and potential spam and block those responsible. When Facebook system finds a URL that it know is spam, it add it to a blacklist and prevent it from being sent or posted. 

Spammers are smart, though, and they often manipulate their URLs in an attempt to get around these controls. As a result, Facebook also created a “greylist” for URLs that might be spam, but might also be legitimate. When users try to send or post these, Facebook system puts up a captcha for them to solve. Spammers typically use scripts and machines to do their dirty work, so these captchas, which can only be solved by humans, help stop them in their tracks. 

Vulnerability : 

when users type a spam link, captcha will pop up. and as captcha developed to mark bots from humans, bypassing it means that it is useless. 

This vulnerability is close to Cross-site scripting (XSS), i used to inject any URL/Link in away to bypass the Facebook security check level . sorry iam not showing any methods or POC . 

Timeline Report: 

- First Report : Dec 14, 2014 9:30am

- Facebook Team Reply : Dec 18, 2014 10:12pm [ ... I will ask the team and I will let you know what their decision is... ]

- Facebook Team Reply : Mar 13, 2015 12:12pm ll Vulnerability Patched  ]

Bounty : 500$