Sinirli bir Filistinli hacker, bir "bug"ı bildirmek için Marc Zuckerberg'in zaman tünelini kullandıktan sonra, Facebook güvenlik takımı hatalarını kabul ettiler. Ancak Facebook'un göz ardı ettikleri bug bildirimi konusunda hata yaptığını kabul etmesi, hacker'a normalde verilmesi gerek ödülün verileceği anlamına gelmiyor.
Facebook Baş Güvenlik Görevlisi Joe Sullivan, yakın zamanda yayınladığı bir postta, hacker'a hitaben "Hüsranını anlıyorum. Bug'ı sorumlu bir şekilde bildirmeye çalıştı ve biz, onunla iletişim kurmada başarısız olduk." yazdı.
Geçtiğimiz hafta, Khalil Shreateh, Facebook üzerinde tanımadığınız kişilerin duvarına yazı yazabilmenizi sağlayan bir açık keşfetmişti. Bu açığı Facebook'un bug bulan kişileri ödüllendiren "whitehat disclosure" programı yolu ile bildirdi. Ancak sesini duyurma çabası çok kez görmezden gelindi ve Shreateh çareyi Zuckerberg'in zaman tünelinde bug'ı bildirmekte buldu.
Facebook'un hata bulan kişilere normalde verdiği ödülü vermeyi reddetmesinin sebebi de burada yatıyor. Sullivan, yayınladığı postta bug bulan kişilerin, buldukları bug'ı asla gerçek kişiler üzerinde kullanarak bildirmemeleri gerektiğini yazdı. Facebook takımının, hacker'lara "kukla" hesaplar sunmasının sebebi de bu.
"Açıklıkları gerçek kullanıcılar üzerinde deneyen araştırmacılara ödül vermeyi red etme prensibimizi değiştirmeyecek. Başka bir insanın güvenliğini veya öznelliğini riske atmak asla kabul edilemez. Araştırmacı, (daha sonra yayınladığı video gibi) daha detaylı bir rapor gönderebilirdi ve bug'ı kanıtlamak için test hesaplarından birini kullanabilirdi." sözleri ile durumu açıklayan Sullivan ayrıca, "her gün yüzlerde bildiri" aldıklarına ve bunların sadece çok küçük bir kısmının gerçek olduğuna da değindi. "Sonuç olarak, bu vaka hakkında çok aceleci ve ilgisiz davrandık. Araştırmacıya, mesajlarının durumu kontrol etmek için yeterli bilgi içermediğini açıklamamız lazımdı."
Bu olayın ardından, Sullivan Facebook'un bug raporları ile ilgilenme şeklinde iki değişiklik yapılacağını duyurdu. Sullivan ilk olarak "Email mesajlaşma sistemimizi geliştirerek, bug'ı onaylamak için ihtiyacımız olan tüm bilgilerin var olmasını sağlayacağız." ikinci olarak ise "whitehat sayfamızı güncelleyerek, düzgün bir bug raporu yazılması için nasıl bilgilerin yer alması gerektiğinin daha iyi açıklanmasını sağlayacağız." maddeleri ile değişimler hakkında yazdı.
Bu arada Shreateh Facebook'tan bir kuruş bile alamayabilir ancak ödülsüz kalmayacak gibi gözüküyor. BeyondTrust'ın Baş Teknoloji Görevlisi Marc Maiffret, Shreateh'i ödüllendirmek için GoFundMe üzerinden bir kampanya başlattı. Kampanya, çok kısa sürede 8000 doları geçerek hedefi olan 10000 dolar çizgisinin yakınına ulaştı. Maiffret, Wired için yaptığı konuşmada "Yaptığı iyi bir şeydi. Hafif yanlış bir yöntem ile yapmış olabilir ancak, başka biri bu bug'ı kullanarak kötü bir şey yapmadan bug'ın ortadan kaldırılmasını sağladı." dedi.