تمكن الطالب عبدالرحمن السليم، احد طلبة كلية تكنولوجيا المعلومات المميزين من اكتشاف ثغرة متوسطة الخطورة في نظام تابع لشركة DHL من خلال ملف إعدادات حساس (envx.js) كان متاح بشكل public، والذي يحتوي على معلومات مهمة مثل API keys وinternal endpoints وconfiguration data الخاصة بالنظام.

حيث تم اكتشاف هذه الثغرة أثناء عملية reconnaissance وتحليل ملفات الـ JavaScript، حيث لاحظ الطالب وجود مفاتيح يمكن استخدامها مباشرة، وعند اختبارها تبين أنها فعالة، كما أتاحت معرفة بعض تفاصيل الـ API وطرق استخدامه. تكمن خطورة هذه الثغرة في أنها قد تسمح بـ unauthorized API usage وقد تؤدي إلى أثر مالي كبير على الشركة، بالإضافة إلى كشف بعض معلومات النظام (information disclosure) مما قد يساعد في تسهيل أي هجوم لاحق

وعلى اثر ذلك قام الطالب بإبلاغ شركة DHL عن الثغرة عبر منصة Bug Bounty (Intigriti)، وتم قبول البلاغ، وتم إدراج اسم الطالب (اسم رمزي) ضمن قائمة الباحثين الأمنيين (leaderboard) الخاصة بالشركة كما هو موضح في الصورة المرفقة. وعادة يكون هناك تكريم مالي لمن يكتشف الثغرة. مبارك للكلية ولطالبنا المتميز.

نفخر بهذا التميز لطلبتنا...