Khalil Shreateh, un ricercatore palestinese, ha violato la sicurezza di Facebook e scritto un messaggio non autorizzato sul diario di Mark Zuckerberg, fondatore e massimo dirigente dell'azienda. Lo studioso ha agito in questo modo perché non era riuscito a comunicare con efficacia l'esistenza di una vulnerabilità - che risulta al momento risolta.
Il bug permetteva di scrivere sul diario di chiunque, anche senza avere "l'amicizia" della vittima, come spiega lo stesso Shreateh nel suo blog. Aveva informato i tecnici di Facebook, ma questi avevano risposto categorici: "non è un bug".
Shreateh ha quindi deciso di usare un metodo più radicale e incisivo, cioè sfruttare la falla che aveva individuato e scrivere direttamente sulla bacheca di Zuckerberg. La reazione stavolta è stata pressoché istantanea, e il team di sicurezza ha contattato immediatamente il ricercatore chiedendo spiegazioni e dettagli.
I responsabili di Facebook hanno anche disabilitato temporaneamente l'account di Shreateh "per precauzione", per riattivarlo dopo aver capito che cosa stesse succedendo. Successivamente hanno spiegato allo specialista che il suo primo report non conteneva informazioni sufficienti per considerare la serietà del bug, e per questo il suo avviso - che pure ha seguito appieno la prassi del White Hat - non è stato preso in considerazione.
Shreateh ha così dovuto violare non solo la sicurezza di Facebook, ma anche le buone pratiche da seguire in questi casi. E per tale ragione non riceverà la ricompensa (minimo 500 dollari) che Facebook offre a chiunque scovi una qualche falla. Peccato, perché dopotutto chi ha preso la cosa sottogamba ha forse più responsabilità dello stesso Shreateh, ma in fondo l'importante che ci sia un bug in meno di cui preoccuparsi, no?