Dopo aver identificato una falla sul sito di Facebook, le aspettative di Khalil Shreateh includevano il riconoscimento del suo lavoro di ricerca e il pagamento della taglia standard per chi contribuisce a migliorare la sicurezza del social network. Invece lo smanettone palestinese si è guadagnato solo un ban temporaneo sul network e l’accusa di violazione della privacy dei suoi utenti, arrivando fino a Mark Zuckerberg in persona.
Shreateh descrive i dettagli della vulnerabilità sul suo blog e in un video su YouTube , spiegando come sia possibile usare il baco per postare un’immagine sul diario di un utente di Facebook anche se non si è nella lista degli “amici” del suddetto utente. Il baco è stato poi riportato alla sicurezza del social network tramite l’ apposito servizio dedicato ai ricercatori “white hat”, dove ogni bug verificato frutta almeno 500 dollari al ricercatore che ne denuncia l’esistenza.
A questo punto le cose si sono complicate, e la risposta iniziale del personale di Facebook è stata di diniego. Quel bug non è un bug, hanno risposto, ma Shreateh è tornato alla carica spiegando che l’account di Sarah Goodin – la prima a registrare un profilo agli albori del social network e la “vittima” scelta dal ricercatore per testare la vulnerabilità – restringe la visione dei post solo ai suoi amici e quindi gli impiegati della corporation non hanno potuto verificare il baco per questo motivo. Il ragazzo palestinese ha fatto a questo punto un nuovo tentativo, usando questa volta l’account del CEO Mark Zuckerberg per dimostrare la validità dell’exploit da lui ideato.
Una seconda risposta un po’ più argomentata è stata quindi pubblicata da uno dei componenti del team di sicurezza di Facebook (su Hacker News ), risposta in cui si ammette la scarsa completezza del lavoro di verifica iniziale (“avremmo dovuto richiedere istruzioni di verifica aggiuntive”) ma si giustifica la difficoltà del lavoro di controllo con le difficoltà linguistiche dovute a rapporti di utenti/ricercatori il cui inglese “non è il massimo”.
Al di là di tutto, taglia corto il dipendente di Facebook, Shreateh si è comportato in un modo “non accettabile” per un cappello bianco visto che ha violato i termini di servizio della politica di disclosure invadendo la privacy prima di Goodin e poi di Zuckerberg. Invece dei 500 dollari sperati – e ancor più desiderati considerando lo stato di disoccupazione in cui si trova al momento – Shreateh si è beccato un ban temporaneo del suo account personale e nient’altro. Il baco, infine, è stato corretto.
Alfonso Maruccia