Khalil, um hacker “do bem” palestino, enviou relatórios de bugs para o Facebook sobre uma vulnerabilidade que o permitia publicar no mural de qualquer um. A equipe de segurança do Facebook, porém, não deu atenção aos avisos. Então Khalil escreveu no mural de Mark Zuckerberg sobre para provar seu ponto.
Khalil explica em seu blog que enviou uma descrição completa do bug, mais provas de sua existência para a página de feedback da equipe de segurança do Facebook, um local onde pesquisadores ganham recompensas de no mínimo US$ 500 por encontrar vulnerabilidades significativas. Não lhe deram atenção. Ele mandou novamente o bug. Na segunda vez, recebeu um email que dizia “Desculpe-nos, mas isto não é um bug.”
Quando publicou no mural de Zuckerberg, Khalil disse: “Em primeiro lugar, desculpe por invadir a sua privacidade e publicar em seu mural, não tive escolh depois de todas as informações que enviei à equipe [de segurança] do Facebook.” Ele, então, detalhou a situação embasado por alguns links.
Em questão de minutos um engenheiro do Facebook entrou em contato com Khalil para mais informações e bloqueou sua conta “como uma precaução” enquanto uma equipe corrigia o bug. Depois sua conta foi restabelecida. Mas o Facebook diz que ele ainda assim não receberá a recompensa por que ao hackear o perfil de Zuck ele violou os termos de serviço do site. Eles comentaram que “explorar bugs para gerar impacto em usuários reais não é um comportamento aceitável de um white hat [um hacker ‘do bem’]. Neste caso, o pesquisador usou o bug que descobriu para publicar na Linha do Tempo de vários usuários sem o consentimento deles.” O Facebook admite, porém, que sua equipe deveria ter sido mais diligente com a descoberta de Khalil. Ok, então. Problema resolvido. [Khalil, RT, The Verge]