La semana pasada, un investigador palestino publicó un mensaje en el muro de la página de Mark Zuckerberg, director ejecutivo de Facebook, después de que, según dice, el equipo de seguridad de la página no tomara en serio sus advertencias sobre un fallo de seguridad.
«Primero, siento haber irrumpido en tu privacidad al publicar esto en tu muro», escribió Khalil Shreateh. «No tengo otra alternativa después de todos los informes que envié al equipo de Facebook».
Shreateh, quien se describe a sí mismo como un investigador de seguridad desempleado, y quien tiene un título en sistemas de información, dijo que encontró un agujero en los sistemas de Facebook que le permitieron hacer publicaciones en la página de cualquier usuario, incluyendo aquellos que no eran parte de su lista de Amigos.
Aprovecharse de esta situación sería una mina de oro virtual para que se den ataques de spam, fraudes y otros que traten de sacarle ventaja a los casi mil millones de usuarios que el sitio tiene alrededor del mundo.
En su blog, Shreateh publicó una serie de correos electrónicos que aseguró haber intercambiado con la seguridad de Facebook. Después del primero, un empleado de Facebook respondió que el enlace adjunto estaba mal.
Sherateh había incluido una publicación, un video de Enrique Iglesias, que dice haber publicado en la página de una mujer que había ido a la universidad con Zuckerberg. Él suponía que el equipo de seguridad de Facebook no podía verlo, porque no estaban en su lista de amigos.
Facebook respondió a este segundo mensaje diciendo que el asunto que él estaba reportando no era un «bug» (error en un sistema de software).
Esta fue su respuesta: «Muy bien. Entonces, no tengo otra alternativa que reportarle la situación al mismo Mark en Facebook».
No hace falta decir que esto llamó su atención.
Facebook dice que el jueves arreglaron la falla. Sin embargo, durante el fin de semana, el acontecimiento se volvió una noticia importante en blogs de tecnología.
En la página web de Hacker News, Matt Jones, un miembro del equipo de seguridad de Facebook, escribió que la barrera de lenguaje con Shreateh, cuyo idioma materno no es el inglés, y el volumen de informes que el sitio recibe, fueron en parte, la causa de la respuesta tan lenta del sitio.
«Desafortunadamente, lo único que envió fue un link a la publicación que ya había hecho (en una cuenta real, de la que no tenía autorización)… diciendo que «el ´bug´ le permite a usuarios de Facebook compartir links con otros usuarios», escribió Jones.
«Por contexto, como ya otros han comentado, recibimos cientos de informes todos los días. Muchos de nuestros mejores informes vienen de personas cuyo inglés no es el mejor; aunque esto puede representar un reto, es algo que hemos solucionado muy bien, y le hemos pagado más de $1 millón a cientos de informantes».
Debido a que violó los términos y condiciones de uso al hackear las páginas de otros usuarios, Shreateh no califica para recibir una recompensa, bajo el programa White Hat del sitio, diseñado para encontrar y arreglar «bugs».
Jones reconoció que el equipo de seguridad debió haberle pedido a Shreateh que les diera más información.
«Debo admitir que apoyo a Facebook en este asunto», expresó en su blog el analista de seguridad, Graham Cluley. «Aunque estaba frustrado con la respuesta del equipo de seguridad de Facebook, Shreateh no actuó bien al usar el fallo para publicar un mensaje en el muro de Mark Zuckerberg».
Hubiera tenido mejores resultados si hubiera regresado al equipo de seguridad de Facebook con más evidencia, y mayores explicaciones. En el caso de que esto no funcionara, hubiera llevado la información a un periodista de tecnología, para que él reportara la situación, dijo Cluley.
Fuente: CNN