Hacker posta sulla bacheca Facebook di Mark Zuckerberg

Khalil Shreateh posta sulla bacheca di Mark Zuckerberg per dimostrare l'esistenza di un bug su Facebook: non verrà ricompensato.

L'intento di Khalil Shreateh dopo aver scoperto un bug su Facebook era dei migliori: segnalarlo al social network come da esso richiesto, approfittandone anche per ottenere una ricompensa. Ma le cose non sono andate come avrebbero dovuto, visto che l'hacker palestinese sarebbe stato ignorato da Facebook, spingendolo a postare sulla bacheca di Mark Zuckerberg sfruttando proprio la falla da egli trovata.

La scoperta di Khalil Shreateh, infatti, riguardava proprio la possibilità di bypassare le impostazioni sulla privacy di qualsiasi utente Facebook, Zuckerberg incluso, postando sulla relativa bacheca anche nel caso in cui la persona non sia tra le proprie amicizie. Dopo aver riportato il bug via email, Shreateh si è visto ignorato come ha poi raccontato sul proprio blog. In realtà, qualcuno dal social network gli avrebbe risposto: tale Emrakul, senza però credere alle parole dello sviluppatore, ignorandone poi le ulteriori spiegazioni offerte a sostegno della propria tesi.

Senza perdersi d'animo, Shreateh ha inviato un altro bug report, ricevendo sempre dallo stesso Emrakul la risposta che non si sarebbe trattato di un bug, spingendo dunque l'hacker a compiere l'eclatante gesto per ricevere l'attenzione che meritava. Attenzione ricevuta da Ola Okelola, altro security engineer di Facebook, che ha commentato il post chiedendo a Shreateh stavolta delucidazioni sul bug: tuttavia, il palestinese si è ritrovato col proprio account disattivato come "precauzione".

Niente ricompensa, comunque


"Sfortunatamente il tuo report al nostro sistema Whitehat non aveva informazioni tecniche a sufficienza per farci intervenire su di esso. Non possiamo rispondere a report che non contengono sufficienti dettagli per riprodurre il problema. [...] Sfortunatamente non possiamo pagarti per questa vulnerabilità perché le tue azioni hanno violato i nostri Termini d'utilizzo."

Postando sulla bacheca di Zuckerberg, Shreateh ha anche violato la Responsible Disclosure Policy di Facebook, che proibisce a chi scopre un bug di trarne vantaggio e di dimostrarlo attraverso l'uso di account di altre persone senza il loro permesso. Su Hacker News, Matt Jones di Facebook ha chiarito quale atteggiamento corretto avrebbe dovuto adottare l'hacker:

"Permettiamo ai ricercatori di creare account di test per aiutarli a effettuare ricerche e test in modo responsabile. In questo caso, il ricercatore ha usato un bug da egli scoperto per postare sulle timeline di altri utenti senza il loro consenso."

Per Facebook, dunque, caso chiuso: niente ricompensa per Khalil Shreateh e bug fixato giovedì scorso, secondo quanto dichiarato dallo stesso Jones. Per i più curiosi, di seguito il video che dimostra il processo per riprodurre il bug.

Via | Mashable.com

  • shares
  • +1
  • Mail