Image Image Image Image Image Image Image Image Image Image

Caminhos Dedicados | January 19, 2017

Scroll to top

Top

No Comments

Facebook: «Devíamos ter prestado mais atenção ao hacker»

Facebook: «Devíamos ter prestado mais atenção ao hacker»

| On 03, Set 2013

Depois de um hacker palestiniano ter pirateado o perfil de Mark Zuckerberg no Facebook para denunciar um bug, fonte da rede social reconheceu que não deveriam tê-lo ignorado.

“Compreendo a frustração dele. Tentou denunciar um bug de forma responsável mas nós não conseguimos comunicar com ele”, escreveu Joe Sullivan, Chefe de Segurança do Facebook, referindo-se ao incidente.

Shreateh descobriu, na semana passada, um bug no Facebook que permitia a um utilizador publicar no perfil de qualquer pessoa, mesmo que não fossem amigos.

O hacker começou por denunciar a vulnerabilidade através de um email. No entanto, o Facebook não reconheceu o bug, de acordo com um artigo publicado no site de Shreateh.

Antes de denunciar o bug, Shreateh testou com sucesso publicar no perfil de Sarah Goodin, antiga colega de turma de Zuckerberg. O link para este post foi incluído no email enviado para o Facebook; no entanto, o informático de segurança que recebeu a mensagem — identificado como Emrakul — não conseguiu ver a publicação, uma vez que não é amigo de Goodin.

Foi isto que Shreateh tentou explicar no segundo email para Emrakul, alertando-o que podia muito bem postar no perfil de Mark Zuckerberg se assim o entendesse. Acrescentou ainda que não iria fazê-lo “por respeito à privacidade das pessoas”. No entanto, este segundo email foi ignorado.

Shreateh voltou a enviar nova denúncia, a explicar a vulnerabilidade. Desta vez, Emrakul terá respondido: “Lamento, mas isto não é um bug”. Shreateh respondeu: “OK, então não tenho outra opção senão denunciar este bug ao próprio Mark Zuckerberg no Facebook”. E assim fez.

Facebook: «Devíamos ter prestado mais atenção ao hacker»

É aqui que reside o problema e a razão por que o Facebook se recusou a premiar o hacker. A rede social considerou este comportamento uma violação dos seus Termos de Utilização e do programa de denúncia de bugs, que proibe o teste dessas vulnerabilidades em perfis reais.

“Não vamos alterar a nossa prática de recusar o pagamento a quem tenha testado vulnerabilidades contra utilizadores reais. Não é aceitável comprometer a segurança ou privacidade de qualquer pessoa”, afirmou o chefe de segurança do Facebook, Joe Sullivan.

O responsável acrescentou ainda que o Facebook recebe “centenas de denúncias por dia” e apenas uma pequena parte das mesmas acaba por ser real. “Não prestámos a devida atenção a este caso. Devíamos ter explicado ao hacker que as primeiras mensagens que nos enviou não continham informação suficientemente detalhada para replicar o problema”, admitiu.

No seguimento deste incidente, Sullivan anunciou algumas alterações à maneira como o Facebook lida com estas denúncias. “Vamos melhorar o nosso sistema de emails para assegurar å verificação de um bug e vamos actualizar a página do programa de denúncia de bugs com a informação sobre a melhor maneira de denunciar uma vulnerabilidade na plataforma”.

Recompensa em crowdfunding

Apesar de tudo, a recusa por parte do Facebook pode ter sido o melhor que aconteceu a Shreateh. Para além de ter tido grande cobertura dos meios de comunicação social, a recompensa de 8 mil euros que recebeu acaba por ser maior do que aquela que o Facebook lhe teria oferecido.

Facebook: «Devíamos ter prestado mais atenção ao hacker»

“Fizeste o mais certo, Khalil”, escreveu Marcus Milne, que contribuiu com 7,5 euros. “Apesar de o multi-milionário Zuckerberg ter recusado dar-te o prémio do programa de denúncia de bugs, tens uma comunidade de gente que aprecia o teu trabalho e que irá dar-te o que tem para ajudar uma pessoa que merece. A humanidade ainda existe!”.

“Khalil, muito respeito por teres encontrado a vulnerabilidade, meu!”, escreveu Andrey Makarov, que doou cerca de 4 euros. “As pessoas no Facebook são idiotas. Não deixes que isto te afecte, continua com a pirataria! Cumprimentos de Israel”.

Ao contrário da Kickstarter, a GoFundMe permite que as campanhas de recolha de donativos continuem até que o seu criador decida terminá-la. Maiffret afirmou que vai deixar a campanha continuar enquanto arranja maneira de transferir o dinheiro para Shreateh.

“Foi uma boa coisa o que ele fez”, afirmou Maifret à Wired. “Pode não ter agido da melhor maneira, mas em última análise era um bug e ele denunciou-o antes que alguém o utilizasse para fazer mal a alguém”, acrescentou.

Ao contrário da Kickstarter, a GoFundMe permite que as campanhas de recolha de donativos continuem até que o seu criador decida terminá-la. Maiffret afirmou que vai deixar a campanha continuar enquanto arranja maneira de transferir o dinheiro para Shreateh.

Submit a Comment