Como sabréis, si un perfil no es público no es posible escribir publicaciones en el muro de ese usuario. Pues bien, parece que esto no es del todo cierto. Un usuario palestino llamado Khalil Shreateh afirma haber descubierto una vulnerabilidad que permite a cualquiera publicar un enlace en otros muros de Facebook. En cuanto lo descubrió se puso en contacto con los californianos para que pudieran arreglar el problema y también para recibir la recompensa que ofrece Facebook en estos casos, que es, como mínimo, de 500 dólares.
Como prueba publicó en el muro de Sarah Goodin, amiga de Mark Zuckerberg, y primera persona que se dio de alta en Facebook. Después de enviar una imagen con su publicación en el muro de Sarah Goodin, y explicar el fallo de seguridad que tiene la red social, recibió una respuesta que no esperaba. Un ingeniero de Facebook identificado solo como Emrakul, únicamente le respondió diciendo: “Lamento indicarle que esto no es un error”, sin pedir información adicional.
Publicó en el muro de Mark Zuckerberg
Tal y como explica en su propio blog, Khalil Shreateh, para poder demostrar que él estaba en lo cierto decidió publicar en el muro del mismísimo Mark Zuckerberg. Minutos más tarde recibió una contestación de un ingeniero de seguridad de Facebook llamado Ola Okelola, solicitando los detalles del bug y también bloqueándole la cuenta por temor a una violación de seguridad más importante.
Actualmente la cuenta de Khalil Shreateh se encuentra otra vez activa, aunque Facebook sigue sin reconocer su error. La red social afirma que el primer informe de Shreateh no contenía suficiente información técnica para que ellos lo tuvieran en cuenta. Además, en un correo electrónico dirigido al propio Khalil Shreateh, le indican que no le pueden pagar la recompensa ya que su actuación ha violado los Terminos de Uso de Facebook.
Para complicar más el problema un ingeniero de Facebook ha indicado en Hackers News que la red social debería haberse preocupado por este fallo de seguridad y haber pedido más información a Khalil Shreateh desde un principio. Pero Facebook ha respondido a su ingeniero en el propio foro de Hacker News indicando que “la explotación de los errores que afectan a los usuarios reales no es un comportamiento aceptable. En este caso, el investigador utiliza el error que descubrió para poder escribir en el ‘Time Line’ de múltiples usuarios sin su consentimiento”.
