Blog Wallpaper
A
ALI ALAKABRالسبت، 28 يونيو 2025

أسترجاع المحادثات المحذوفة في Meta Ai وبمكافأة 525$ !!

منذ شهرين تقريبا

Area Iconالأمن السيبراني - صيد الثغرات

ثغرة على منصة Meta AI: حذف غير آمن للبيانات

بقلم: علي جعفر @allawe المكافأة: 525 دولار

Bounty
Bounty

نوع الثغرة: حذف غير صحيح للبيانات (Improper Data Deletion)

الثغرة هاي تصير لما النظام أو التطبيق ما يمسح البيانات الحساسة بشكل كامل بعد طلب الحذف. يعني تبقى وراها آثار ممكن ترجع تُسترجع عن طريق روابط مباشرة، أو المعرفات، أو النسخ الاحتياطية، أو حتى الكاش، وهذا الشي يشكل تهديد مباشر على خصوصية المستخدم ويخالف قوانين حماية البيانات.

شنو الأسباب اللي ممكن تسبب هالثغرة؟

  • حذف ناعم "Soft Delete" يعني ما ينمسح الشي، بس يختفي من الواجهة.
  • بقاء البيانات في سجلات النظام أو النسخ الاحتياطية.
  • عدم مسح الكاش أو محتوى CDN بشكل صحيح.
  • مشاكل بصلاحيات الوصول تسمح ترجع تجيب بيانات محذوفة.

شلون استغليت الثغرة؟

لما تمسح محادثة بـ Meta AI، المفروض تنمسح نهائياً، وما تكدر ترجع تسترجع لا صور ولا نصوص من الدردشة.

بس حبيت أختبر إذا اكدر أرجع حتى جزء بسيط من الدردشة بعد الحذف.
سويت الآتي:

  1. أنشأت محادثتين جديدات مع Meta AI، وسميتهن Chat A و Chat B.
  2. طلبت من Meta AI ينشئلي صور بالمحادثتين.
  3. انتظرت شوي، وبعدين حذفت Chat A حذف دائم.
  4. من حساب المهاجم، عندي رابط أو ID للمحادثة المحذوفة (Chat A).
  5. فتحت دردشة خاصة قديمة محفوظة عندي، واستبدلت ID مالها بـ ID مال المحادثة المحذوفة.
  6. لما فتحتها، لقيت المحادثة المحذوفة رجعت وانعرضت!

وبعدها، رحت على Chat B وسويت أنيميشن لإحدى الصور هناك. اعترضت الطلب بالـ Burp Suite، وغيرت ID مال Chat B إلى ID مال Chat A. وبالفعل، رجعتلي الصورة المحذوفة من Chat A.

الأستغلال
الأستغلال

الاستنتاج:

الثغرة هاي تكشف عن خلل خطير بآلية حذف البيانات على Meta AI. تگدر من خلالها ترجع بيانات محذوفة، وهذا يعتبر خرق للخصوصية.

الحل؟ لازم تكون عملية الحذف حقيقية وآمنة، ويصير تحقق صارم من الوصول للبيانات بعد الحذف حتى تضمن التوافق مع قوانين حماية المعلومات.

النتيجة:

اكتشفت الثغرة، وكتبت التقرير، وبفضل الله، تم قبوله، وحصلت مكافأة 525 دولار