16

اكتشفت ثغرة مهمة في موقع يبيع خطوطًا عربية، هل أطلب مالًا مقابل الإفصاح عنها؟

نور الدين

منذ مدة كنتُ أتصفح موقعًا يبيع رخصًا لاستخدام خطوط عربية جديدة لمواقع الويب، وبدافع الفضول بدأتُ أبحث عن طريقة ملتوية لتحميل الخطوط D: وبعد عدة ساعات تمكّنت من الحصول على أحدها، وبتكرار المنهجية أمكنني تحميل جميع الخطوط المعروضة في الموقع والتي لا يقل ثمن رخصتها شهريًّا عن 50$ للزبون الواحد!

في الحقيقة لستُ مخترقًا محترفًا وليست لي تجارب كثيرة سابقة، فقط استخدمت بعض التقنيات البسيطة بحكم كوني مطور ويب، لكن يبدو أنّ أصحاب الشّركة ليست لديهم الخبرة الكافية لحماية المنتج الأساسي الذي يقدمونه (رغم محاولتهم لإخفائه)..

المهم أنني راسلتُ الشّركة وأرفقتُ الملف الذي حصلتُ عليه. لكن لم يتجاوز ردّهم تهديدًا ووعيدًا بالمحاسبة أمام الله عز وجلّ :) في حال استخدمت الخط أو نشرته أو ... الخ.. وطلبوا معرفة الثغرة..

الآن ما رأيكم؟ هل أقوم بإعطائهم التفاصيل ببساطة وأحتسب الأجر عند الله؟! أم أنّ لي الحق في الحصول على مبلغ ما مقابل جهدي المتواضع ومقابل حمايتهم من سرقات ربما تصل لآلاف الدولارات سنويًّا؟ أم أنسى الأمر وحسب وكأنّ شيئًا لم يكن :)؟

هل لديكم تجارب سابقة مشابهة؟ أفيدوني :)


حدثت معي نفس الحادثة تماما منذ فترة حيث تمكنت من تنزيل كتب مدفوعة من أحد المواقع العربية بالإضافة إلى اكتشاف ثغرات أخرى.. المهم راسلتهم وعندما طلبوا معرفة الثغرات طلبت في المقابل 100$، توقعت أن يفاصلوني على السعر أو ما شابه لكن ما حدث أنهم انقطعوا عن مراسلتي وربما لا تزال الثغرات موجودة حتى الآن لا أدري (لم أعد لزيارة الموقع).

في تقديري كان المبلغ معقول جدا فالثغرات التي وجدتها يمكن أن تضر بمبيعاتهم كما أن الموقع يدعي أن الكتب التي يعرضها عليها حماية ولا يمكن للمستخدم نسخها كpdf إلى جهازه رغم أنني تمكنت من تحصيل ملفات pdf وكسر تشفيرها بسهولة تامة واعتمادا على خبرتي البسيطة بأساسيات الويب أي أن كلامهم عن الحماية والتشفير وغير ذلك كله لا يمت للواقع بصلة ومن أول نظرة على الموقع تدرك أن مبرمجيه مبتدؤون.

ثم تصادف أن قرأت مقالة لعبد المهيمن الآغا تذم هذا الأسلوب وتصف من يتبعه "بالبلطجي" وأن هذا الأسلوب في التعامل ابتزاز الخ.. مع ذلك لم أندم وأراسلهم بالثغرات لا أدري لم، ربما درجة التهاون وسهولة اختراق الموقع وتناقض هذا مع دعاياتهم وتطبيلهم جعلني أشعر أنهم لا يستحقون، أو ربما لأنني عرفت لاحقا أن موقعهم تلقى تمويلا بعشر آلاف دولار وبهكذا مبلغ كان يمكنهم استئجار أمهر المبرمجين لبناء الموقع ... أو على الأقل يضحكوا علي بعشرة دولار منها ما شابه أو أي شيء فقط هم يبدو أنهم لم يكونوا مهتمين نهائياً.

لاحقا عرفت أنه من الناحية القانونية أنت لا يحق لك محاولة اختراق أي موقع دون اتفاق مسبق مع مالك الموقع وعليك الانتباه أنه ربما يمكنهم رفع دعوى عليك ومقاضاتك بسبب اكتشاف هذه الثغرات وعندها لا سمح الله قد تدخل في متاعب خصوصا إذا كنت من نفس الدولة ولذلك لا تطمئن إلى أنك في موقع القوة الآن -- خلاصة الكلام غالبا لن تحصل على أي نقود من هذه العملية، ويستحسن أن تغلق على نفسك هذا الباب قبل أن تتحول من الصياد إلى الفريسة .

هذه تجربتي أتمنى أن تكون فيها الفائدة لك. تحياتي.

هل لديك رابط مقالة عبد المهيمن؟

وبالنّسبة للناحية القانونية، أين أجد هذا القانون؟ من سنّه؟

هناك نقاش عنها هنا، يمكنك الوصول للمقالة من الموضوع نفسه:

القوانين تختلف حسب الدول طبعاً، لا أذكر أين قرأت عنه. قد لا ينطبق هذا الكلام على دولتك أو دولة مالك الموقع أو ربما لا يمكن لمالك الموقع الاستفادة من هكذا حقوق إذا لم تكن له شركة مسجلة الخ هناك تعقيدات كثيرة هنا والفتوى فيها تترك للمحامين وليس لي. أنا فقط أردت الإشارة أنه هناك مثل هذه القوانين التي تضعها الدول للحماية من "الجرائم الإلكترونية" وصدقني هذه القوانين عجيبة غريبة سواء في الدول المتقدمة أو الدول المتخلفة عن الركب التكنولوجي مثل غالبية دولنا العربية.

هناك مواقف كثيرة سخيفة وغبية أكثر من هذا حدثت في أمريكا وأوروبا وفجأة تجد شخص تنطبق عليه مواصفات "المجرم الإلكتروني" من حيث لا يدري...