Khalil Shreateh greide å skrive en melding på tidslinjen til Facebook-sjef Mark Zuckerberg, selv om han ikke er facebookvenn med Zuckerberg. Men noen dusør for å varsle om sårbarheten, det får han ikke. (Bilde: Khalil Shreateh)

Brøt seg inn på Zuckerbergs tidslinje

Demonstrerte Facebook-sårbarhet, men får ikke dusør.

Facebook lanserte for noen år tilbake et «Whitehat»-program, hvor folk som oppdager sårbarheter i det sosiale nettverket kan melde inn om disse. Ofte utbetaler selskapet en dusør for dette.

Nylig skal palestinske Khalil Shreateh ha funnet en sårbarhet som gjorde det mulig for ham å skrive meldinger på tidslinjen til Facebook-brukere han ikke har noen tilknytning til.

I stedet for å beholde hemmeligheten om sårbarheten for seg selv, eller å selge den til kriminelle, varslet Shreateh Facebook.

Først skrev han et uskyldig innlegg på tidslinjen til Sarah Goodin, en kvinne Facebook-sjef Mark Zuckerberg studerte sammen med. Deretter tipset han Facebook Security.

Men personen i sikkerhetsavdelingen Facebook som Shreateh fikk kontakt med, fikk ikke lenken Shreateh hadde vedlagt, til å virke. Vedkommende konkluderte med at det ikke dreide seg om noen sårbarhet, noe som senere viste seg å være en forhastet beslutning.

Den aktuelle lenken ledet til innlegget Shreateh hadde skrevet på tidslinjen til Goodin, men innlegget var bare synlig for Goodins venner, noe den Facebook-ansatte tydeligvis ikke var.

Shreateh ga likevel ikke opp. For å sikre seg oppmerksomhet, gikk han helt til topps og skrev et innlegg på tidslinjen til Zuckerberg. Dette skjedde torsdag i forrige uke. I innlegget forklarte han hensikten med innlegget, nemlig å få oppmerksomhet rundt sårbarheten han benyttet.

I en etterfølgende diskusjon på Shreateh egne Facebook-sider viser det seg at Facebook denne gang tar affære. Tre timer senere er sårbarheten fjernet. I mellomtiden hadde kontoen til Shreateh midlertidig blitt deaktivert.

Senere, når Shreateh spør om å i alle fall få bli nevnt på siden hvor Facebook takker for varsler om sårbarheter, får han ikke noe svar fra Facebook.

Først i går skal det ha kommet en skikkelig forklaring fra Facebook. Det er i et innlegg Matt Jones, et medlem av Facebooks sikkerhetsteam, har skrevet på Hacker News.

Han innrømmer innledningsvis at Facebook skulle ha bedt om mer detaljer, men hevder at alt Shreateh inkluderte i meldingen var lenken og teksten «the bug allow facebook users to share links to other facebook users». Dette stemmer ikke helt overens med meldingen Shreateh selv har offentliggjort her. På denne siden har Shreateh lagt ved en video hvor det hele demonstreres.

Jones mener at dersom Shreateh hadde inkludert videoen i den opprinnelige meldingen, kunne Facebook ha håndtert det hele langt raskere.

Videre skriver Jones at Facebook mottar hundrevis av sikkerhetsrapporter hver dag. De fleste av disse er fra personer som ikke skriver særlig godt engelsk, noe Jones omtaler som utfordrende. Han beskriver ellers mange av rapportene som rent oppspinn eller på villspor.

Når det gjelder den manglende dusøren, så forklarer Jones dette med at Shreateh brøt retningslinjene da han skrev innleggene inn på noen virkelige kontoer – uten samtykke fra eierne av disse, i stedet for å teste sårbarheten på en egen testkonto, noe man blir bedt om i Whitehat-programmets regelverk.

Riktignok står det at man likevel kan bruke en virkelig konto dersom man ikke er i stand til å reprodusere en feil med en testkonto. Men man må likevel først innhente samtykke fra eieren av den kontoen.

Formelt sett gjør Facebook ingenting galt ved å nekte å betale ut en dusør til Shreateh. Men som Jones selv skriver, er det ikke alle som er like stødige i engelsk. I flere kommentarer til Jones' innlegg understrekes det at retningslinjene til Whitehat-programmet bare er tilgjengelig på engelsk. Dersom man ellers har arabisk språkdrakt i Facebook, ser siden merkelig ut fordi den er tilpasset skrift som går fra høyre mot venstre.

– Dersom dere krever at tjenestebetingelsene følges av folk som ikke har engelsk som sitt primære språk, forsøk å tilby en oversettelse, heter det i én av kommentarene.

Gjennom Whitehat-programmet har Facebook til sammen utbetalt mer enn én million dollar i dusør for tips om sårbarheter. Minimumsdusøren er på 500 dollar. Det er ingen offisiell øvre grense.

Til toppen