O nieefektywnych próbach dogadania się z Facebookiem można przeczytać na blogu Khalila (a po polsku m.in. w Niebezpieczniku). Znaleziona przez niego luka umożliwiała publikację postów na osi czasu dowolnego użytkownika - bez jego zgody i niezależnie od ustawień prywatności. Informację o błędzie Palestyńczyk przesłał pracownikom działu bezpieczeństwa, licząc na to, że w ramach programu Bug Bounty otrzyma w nagrodę minimum 500 dolarów.

Zgłoszenie zawierało link do profilu, na którym Khalil Shreateh opublikował swój post w celu zademonstrowania świeżo odkrytej luki. Palestyńczyk nie podał jednak szczegółów technicznych pozwalających na odtworzenie błędu (teraz wiemy, że chodziło prawdopodobnie o brak walidacji parametru ID po stronie serwera). Osoba przyjmująca zgłoszenie nie mogła zobaczyć wspomnianego posta, o czym poinformowała Khalila. Ten - zamiast dokładniej opisać lukę - stwierdził tylko, że posta nie widać, bo nie pozwalają na to ustawienia prywatności „ofiary”. W odpowiedzi przeczytał, że... błędu nie ma.

W takiej sytuacji Khalil postanowił poinformować o luce samego Marka Zuckerberga, umieszczając swoje zgłoszenie na osi czasu założyciela Facebooka - zob. zrzut ekranu poniżej (klikając, można go powiększyć).

fot. Khalil Shreateh - Pełna treść postu Khalila

Dlaczego? Jako powód podano naruszenie zasad programu Bug Bounty. Chodzi przede wszystkim o użycie do demonstracji błędu kont realnych użytkowników serwisu, którzy nie wyrazili na to zgody - Facebook oczekuje, że odkrywcy luk będą w tym celu wykorzystywać konta testowe. Trzeba jednak przyznać, że dział bezpieczeństwa Facebooka również dał plamę, nie dopytując się o szczegóły po otrzymaniu pierwszego zgłoszenia od Khalila.

Czytaj także: Uwaga na wtyczki do Chrome i Firefoksa podsuwane na Facebooku