Mediante el sistema de reporte de bugs de Facebook, el palestino Khalil Shreateh reportó una vulnerabilidad que permitía que un usuario publicara en el muro de otra persona sin la necesidad de ser amigos en la red social. Sin embargo, el equipo de Facebook ignoró los reportes, por lo que Shreateh decidió demostrarla publicando algo en el muro de Mark Zuckerberg, creador de la red social.
Joel Sullivan, director de seguridad en Facebook, compartió una publicación en la que explica que reconocen su error para comunicarse con Shreateh, pero que no procederán a darle la recompensa monetaria correspondiente: “No cambiaremos nuestra práctica de negar el pago de recompensas a los investigadores que hayan probado vulnerabilidades contra usuarios reales”.
Para investigaciones de seguridad, Facebook tiene una herramienta para la creación de cuentas de prueba.
Sullivan explicó que Facebook recibe cientos de reportes de seguridad cada día, de los cuales un pequeño porcentaje resultan legítimos. Shreateh no proporcionó la información suficiente para que los especialistas de seguridad de la compañía replicaran el problema; por esta razón, el departamento de seguridad descartó el reporte, pero sin informar qué datos hacían falta para aceptar la contribución.
Ante esta problemática, Sullivan publicó que mejorarán su comunicación por mail para especificar qué necesitan para validar un bug. El directivo también señaló que actualizarán su página de reportes con más información acerca de las mejores formas de enviar un reporte.
Por otra parte, Shreateh sería recompensado de manera externa, pues el director de tecnología de BeyondTrust, Marc Maiffret, lanzó una campaña en GoFundMe en la que, al momento de redacción, ha recaudado $9215 USD de los $10,000 USD que se están pidiendo para otorgárselos a Shreateh.
