Facebook violato, ma con buone intenzioni

Ha scoperto una grave vulnerabilità nel codice di Facebook, ma il team deputato a controllare la sua segnalazione ha ignorato troppo a lungo la gravità del problema. Il suo nome è Kahil Shreateh e la sua determinazione ha consentito al social network di rimuovere il problema intervenendo direttamente ove segnalato dall’hacker.

Hacker o cracker? Per capire la differenza occorre ripercorrere l’intera storia. Khalil Shreateh, palestinese, ha infatti scoperto una vulnerabilità che consente a chiunque di scrivere sulla bacheca di altri utenti in assenza di qualsivoglia autorizzazione specifica. Nonostante la segnalazione inviata agli esperti di sicurezza di Facebook, Khalil non ha però ricevuto alcun feedback di conferma e si è trovato pertanto nella difficile situazione di dover decidere il da farsi di fronte al silenzio di ritorno ottenuto. Il ricercatore ha così deciso di passare alle maniere forti, segnalando il bug nel modo più evidente e rumoroso possibile: postando la segnalazione direttamente sulla bacheca di Mark Zuckerberg, come se lo stesso Zuckerberg l’avesse scritta di suo pugno dopo il login sul proprio account.

Khalil ha così raggiunto il proprio scopo: di fronte all’evidenza dei fatti, il team di sicurezza di Facebook ha immediatamente preso in considerazione la segnalazione ed è intervenuto per mettere una pezza al problema. La segnalazione sulla bacheca di Zuckerberg è stata peraltro estremamente “pulita” dal punto di vista etico: non è stata simulata l’identità del fondatore del social network, ma è stato invece riportato il problema e gli estremi per avere maggiori approfondimenti. Khalil si scusa con Zuckerberg per l’invadenza, ma spiega di non aver potuto fare altrimenti visto il silenzio con cui era stata accolta la sua segnalazione (dapprima non compresa, quindi respinta spiegando che il tutto non fosse da considerarsi come una vulnerabilità).

Manca a questo punto, però, il lieto fine. Khalil, infatti, non sarebbe al momento in grado di riscattare la ricompensa promessa da Facebook a quanti segnalano importanti vulnerabilità al sistema (partendo da un minimo di 500 dollari). Il team non ha infatti riconosciuto come legale il suo modo di segnalare il problema ed in virtù della non-aderenza ai dettami imposti è stata al momento bloccata ogni procedura di ringraziamento pecuniario. Mark Zuckerberg potrà ora decidere di proprio pugno come procedere, conscio del fatto che il problema è stato in questo caso causato da un team di sicurezza perfettibile e dal fatto che la soluzione sia arrivata grazie alla cocciutaggine di questo Khalil.