Facebook in imbarazzo per un bug di sicurezza "scomodo"

È una storia che sta provcocando ben più di un qualche imbarazzo a Facebook quella che vede coinvolti un giovane palestinese, Khalil Shreateh, e Mark Zuckerberg, il CEO della società. Prima di tutto l’effetto più evidente dell'”azione” di Shreateh: sulla bacheca personale di Mark Zuckerberg è comparso un messaggio con cui il ragazzo segnalava la scoperta di un bug di sicurezza. Il problema è che Zuckerberg e Shreateh non sono amici: quest’ultimo non avrebbe potuto pubblicare alcunché sulla pagina personale del numero uno di Facebook.

È proprio qui il nocciolo della questione: Shreateh, documentando la sua scoperta con un video, afferma di aver individuato una lacuna di sicurezza che permetterebbe a chiunque di scrivere liberamente sulla bacheca di altre persone non presenti nella lista degli amici. Un bug presente nell’applicazione web che governa Facebook e che può rivelarsi piuttosto fastidioso.

Shreateh illustra sul suo blog la cronologia degli eventi spiegando di aver correttamente contattato il supporto tecnico di Facebook e di aver segnalato il comportamento anomalo da parte di Facebook nella gestione di commenti pubblicati da parte di “non amici”.
Il giovane ricercatore ha aggiunto di aver pubblicato una nota sulla bacheca di Sarah Goodin, un’amica di Zuckerberg dai tempi del liceo, la prima donna ad essersi registrata su Facebook.

Il supporto tecnico di Facebook, secondo Shreateh, avrebbe fornito una risposta assolutamente fuori luogo: “l’unica cosa che vediamo apparire è un errore“.
“Evidentemente non hanno usato gli appropriati diritti per accedere al contenuto della bacheca della Goodin dal momento che lei condivide i messaggi pubblicati solamente con gli amici“, ha scritto il palestinese. “Io, invece, ero in grado di vedere il mio post perché (sfruttando la vulnerabilità scoperta, n.d.r.) sono riuscito a pubblicarlo sulla bacheca della Goodin senza essere suo amico“.

Dal momento che la segnalazione è stata “archiviata”, ad una successiva sollecitazione di Shreateh, il supporto tecnico di Facebook ha risposto laconicamente: “sono spiacente di informarla che questo non è un bug“.

Shreateh, con un’escalation che evidentemente ha fatto infuriare i vertici del social network, ha a questo punto pubblicato un messaggio sul profilo personale del CEO Zuckerberg. A distanza di pochi minuti, il ricercatore è stato contattato da un ingegnere software di Facebook invitando a fornire tutti i dettagli sulla vulnerabilità. Dopo poco tempo, l’account Facebook di Shreateh è stato disattivato (per poi essere successivamente riabilitato).

Mentre, nel frattempo, il bug di sicurezza è stato risolto, Shreateh continua ad insistere sul “trattamento” ricevuto da Facebook. Anziché essere premiato, come previsto dal programma “Whitehat” del social network (a chi segnala privatamente nuovi bug di sicurezza viene corrisposto un importo minimo in denaro pari a 500 dollari), il comportamento di Shreateh sarebbe stato sanzionato considerandolo come una vera e propria violazione delle condizioni d’uso del servizio.

In un commento offerto ad Hacker News, un ingegnere di Facebook avrebbe ammesso che il personal del social network avrebbe sbagliato, nella fase iniziale, a non richiedere ulteriori delucidazioni tecniche al ricercatore. Per il resto, però, viene confermato il giudizio sull’accaduto: “non è ammissibile che un ricercatore white hat dimostri un bug di sicurezza andando ad intervenire su pagine altrui e sulle bacheche di utenti reali. In questo caso (Shreateh, n.d.r.) ha pubblicato dei post sulle bacheche di diversi utenti senza aver precedentemente acquisito la loro autorizzazione“.