أنشئ حسابًا أو سجّل الدخول للانضمام إلى مجتمعك المهني.
بسم الله الرحمن الرحيم
لنفرض اثناء تصفحي للموقع (س) التابع للشركة (ص)
تعثرت بثغرة امنية خطيرة .. فلنقل ثغرة لحقن قواعد البيانات
مالطريقة المناسبة للإبلاغ عن هذه الثغرة دون الإنتهاء بي داخل زنزانة !
كما نعلم أن نظام مكافحة الجرائم المعلوماتية يشمل العقوبات فقط ولا يشمل طرق التعامل مع الثغرات الأمنية
لهذا اتمنى من مختصي امن المعلومات ومختصي القانون إفادتنا نحن مجتمع الهاكرز الأخلاقيين الذين لايسعون للضرر بل التأمين ..
الطريقة السليمة هي أن تسلم من الابلاغ عن الثغرة
لأن ما فيه عندنا قانون واضح يعني حسب المسؤول اللي يستقبل تقريرك في منشأته ..
وتوقع السؤال : كيف وصلت للثغرات ؟
فيه واحد بلغ عن ثغرة عندنا ويحسب انهم بيكافؤنه
ولكن يالله يطلع بحب الخشوم وسلم من السجن
السلام عليكم ورحمة الله وبركاتة
اضربلك مثل خاص بهذا الموضوع قبل تقريبا عام واحد اكتشفت ثغرة في الابلكيشن المشهور " فيس بوك " وكانت ثغرة اختراق حساب مش حاجة سهلة والحمد لله استغليتها بالحلال . تواصلت مع الدعم الفني ومن خلاله اثبت انه يوجد ثغرة امنية والتواصل بالايميل طبعا وتم سد هذة الثغرة وحصلت على مكافأة مالية قدرهادولار
حسب الثغرة تاخذ المكافاة
أستاذي أحمد العطوي ..
مع الأسف الشديد هذا النظام يسمى مكافئة الثغرات (Bug Bounty) وهو مقدم من قبل المؤسسة/الشركة نفسها
في هذه الحالة .. الفيس بوك
https://www.facebook.com/whitehat/
ومثله في موقع اوفينسف سيكيورتي
https://www.offensive-security.com/bug-bounty-program/
قائمة بالمواقع التي تقوم بنفس البرنامج
https://bugcrowd.com/list-of-bug-bounty-programs
لكن اذا نظرت للمؤسسات المحلية ستجد انه لايوجد مثل هذه البرامج
واكبر مثال قضية الأخ مرجوج الهزازي بعد إبلاغ جامعة الطائف(حسب ما أذكر)
قاضوه ووصلوه للمحاكم ! وغيره من الأشخاص
حقيقةً اتمنى وجود حل لهذه المشكلة !
اتمنى وجود نقاط تحمي صيادين الثغرات بل وتكافئهم مثل ماتقوم اكبر الشركات والمؤسسات بالعالم
وهالشيء بيقلل من التخريب والاختراق لمجرد (اندكس) وبيحفز المنفعة من هالمواهب !
نقطة جانبية :
بعض السلطات تحاكم الشخص اذا قام بفحص الرابط لثغرة الحقن بإستخدام علامات التنصيص !
هل تحتاج لمساعدة في كتابة سيرة ذاتية تحتوي على الكلمات الدلالية التي يبحث عنها أصحاب العمل؟