Khalil Shreateh -un chercheur palestinien en sécurité- a récemment découvert une faille majeure sur Facebook : il serait possible, via un bout de code, d'écrire sur le mur de n'importe qui, même sans être ami avec la personne.
Ni une, ni deux, Khalil contacte le service officiel de Facebook à qui il présente le bug, une procédure classique et qui permet également au développpeur de recevoir une prime, autour de 500$. Manque de chance, un ingénieur lui rétorque que Ceci n'est pas un bug. Débouté, Khalil ne lâche pas prise, persuadé de tenir là une importante faille de sécurité.
Il décide alors de mettre en pratique son exploit sur la page du CEO. Shreateh parvient donc à rédiger un message, puis à le publier sur le mur de Zuckerberg :
En quelques minutes, Shreateh est alors contacté par Facebook, qui s'empresse alors de... lui fermer son compte. L'ingénieur de contact lui notifie ensuite que sa faille n'était pas correctement documentée dans le bug report, d'où la difficulté pour les équipes de le prendre au sérieux.
Finalement, notre cher Khalil tente de rélamer sa récompense -les fameux 500$ promis- ce que refuse immédiatement Facebook. L'homme n'aurait pas respecté les conditions d'utilisation de Facebook.
Moralité, si vous souhaitez notifier Facebook d'un bug et toucher la prime, vous savez comment faire : bien documenter la faille, et ne surtout pas l'utiliser !
