Facebook ignora aviso de bug e Zuckerberg tem perfil invadido

Depois de ser ignorado, um hacker palestino encontrou uma maneira nada discreta de contar à equipe do Facebook que ele descobriu um bug na rede social: ele usou a falha contra ninguém menos que Mark Zuckerberg.

Em seu blog, Khalil Shreateh, o hacker palestino responsável pela mensagem indesejada no mural do CEO, explica que recentemente descobriu um bug no Facebook que permitia a qualquer usuário postar no mural de outra pessoa, independente de suas configurações de privacidade e mesmo que não esteja em sua lista de amigos.

Ele alega que reportou a descoberta da vulnerabilidade ao Facebook, que em vez de levá-lo a sério, simplesmente ignorou o problema. Shreateh explica que testou a vulnerabilidade em Sarah Goodin – amiga de Zuckerberg e a primeira mulher a se inscrever na rede social – antes de denunciá-la através do programa WhiteHat do Facebook.

O WhiteHat é um sistema que visa encorajar os desenvolvedores a relatarem potenciais vulnerabilidades em troca de uma recompensa monetária de pelo menos US$ 500. O hacker então enviou uma imagem do post indevido que conseguiu fazer no mural de Goodin para o Facebook, mas recebeu apenas a resposta de um engenheiro do site dizendo: "Eu lamento, mas isso não é um bug".

A resposta não deixou o palestino satisfeito. Então, Shreateh decidiu notificar o próprio Mark Zuckerberg sobre a vulnerabilidade, publicando-a na timeline do executivo. Como se isso não bastasse, o 'invasor' ainda usava a foto do ex-técnico da CIA, Edward Snowden.

Mensagem do hacker na página de Mark Zuckerberg (Imagem: Reprodução / Blog de Khalil Shreateh)

Minutos depois, um dos engenheiros de segurança da rede social entrou em contato com o hacker para solicitar detalhes sobre o exploit. A conta de Shreateh também foi desabilitada, provavelmente para evitar maiores riscos à segurança, e só voltou à ativa depois que a questão foi resolvida.

Porém, mesmo com a comprovação de sua descoberta, ele não foi recompensado financeiramente. "Infelizmente, nós não podemos pagar a você por essa vulnerabilidade porque suas ações violaram nossos 'Termos de Serviço'. Esperamos, entretanto, que você continue a trabalhar conosco para encontrar mais vulnerabilidades no site", alegou o Facebook.

Um engenheiro da rede social afirmou ao The Verge que o bug já foi corrigido, e que Shreateh infringiu os Termos de Serviço do WhiteHat ao utilizar a vulnerabilidade descoberta para postar no mural de outros usuários sem a sua devida autorização.