Facebook, nemmeno Mark Zuckerberg riesce a blindare la propria Timeline

“Caro Mark Zuckerberg,
Come prima cosa voglio scusarmi per aver violato la tua privacy e postare sulla tua bacheca, non ha altra scelta dopo tutte le segnalazioni che ho inviato al team Facebook.”

Con questo messaggio piuttosto sgrammaticato, si è conclusa una delle vicende più curiose (e imbarazzanti) della storia di Facebook. Il protagonista di questo racconto si chiama Khalil Shreateh , vive a Yatta, in Palestina, ed è il ricercatore specializzato in sicurezza informatica che nelle ultime ore è riuscito a coprire Facebook di ridicolo condividendo un post sulla bacheca del suo primo cittadino, Mark Zuckerberg.

Ecco com’è andata. Settimana scorsa, Shreateh scopre un bug piuttosto serio nel sistema di sicurezza di Facebook, che potrebbe consentire virtualmente a chiunque di postare contenuti sulla bacheca di un utente qualsiasi, a prescindere che questo sia o meno nella sua lista di amici. Khalil decide di fare rapporto a Facebook Whitehat e, per dimostrare che il problema è serio, allega alla segnalazione un link che dimostra come sia stato in grado di introdursi nella bacheca di Sarah Goodin, compagna di college di Mark Zuckerberg nonché prima donna ad essersi iscritta a Facebook.

È in questa prima fase che il team sicurezza di Facebook comincia la sua mirabolante serie di figuracce. La persona che riceve la segnalazione di Shreateh, infatti, si limita a cliccare sul link allegato e, dopo essere stato dirottato su una pagina errore, decide di liquidare l’informatico di Yatta come un qualunque scocciatore.
Non è chiaro perché il responsabile si comporti così, dovrebbe sapere che, non essendo lui contatto diretto di Sarah Goodin, è normale che non riesca accedere alla sua Timeline, e dovrebbe perciò effettuare almeno un altro tentativo, invece decide di lasciare perdere. Forse è colpa della poca padronanza che Shreateh ha dell’inglese, forse è semplice incuria, fatto sta che il giovane informatico non demorde, scrive una seconda mail, allegando un secondo link e chiedendo di provare ad accedere alla bacheca della Goodin in maniera non convenzionale, aggiungendo che, nel caso non venisse ascoltato nemmeno questa volta, si vedrà costretto a violare la bacheca di Mark Zuckerberg in persona. Niente da fare: il responsabile Facebook lo rimbalza una seconda volta, limitandosi a informarlo che quello di cui lui parla "non è affatto un bug".

Sono da poco passate le due del mattino di venerdì, quando sulla bacheca di Mark Zuckerberg compare il post di un certo Khalil Shreateh, accompagnato da un’immagine profilo raffigurante il volto di Edward Snowden. Alla fine il giovane informatico palestinese ha mantenuto la promessa, il profilo più blindato di Facebook è stato espugnato, e a Menlo Park improvvisamente hanno un’intera cucciolata di gatte da pelare.

Passano solo pochi minuti prima che Shreateh venga finalmente preso sul serio, un altro responsabile sicurezza lo contatta per avere tutti i dettagli possibili sul bug, nel giro di altri pochi minuti l’account di Shreateh viene temporaneamente disabilitato. Shreateh chiede spiegazioni, dopotutto ha aiutato Facebook a individuare una falla, e di solito chi segnala bug simili viene ricompensato, invece lui viene trattato come un hacker qualsiasi. La risposta di Facebook non tarda ad arrivare, ma è decisamente poco amichevole.

“Sfortunatamente” si legge nella missiva “La tua segnalazione al nostro sistema Whitehat non aveva sufficienti informazioni tecniche perché potessimo intervenire. Non possiamo rispondere a segnalazioni che non contengano abbastanza dettagli per permetterci di riprodurre una problematica. [...] Purtroppo non possiamo pagarla per questa segnalazione perché le sue azioni hanno violato le nostre Condizioni di Servizio. Speriamo, comunque, che continuerà ad aiutarci a trovare vulnerabilità sul sito.”

Oltre a procurare a Facebook una leggendaria figuraccia, la vicenda ha generato un acceso dibattito , al punto che anche all’interno di Menlo Park c’è chi fa notare che Shreateh andrebbe premiato per il suo comportamento, dal momento che ha subito cercato di informare Facebook quando avrebbe potuto tranquillamente vendere l’informazione a chi con bug simili ci campa, dispensatori di spam in prima fila.

Ancora non è chiaro che ne sarà di Khalil Shreateh. Se fossimo in un film, Facebook l’avrebbe già assoldato nel suo team di sicurezza, salvando capra e cavoli. Ma siccome non siamo in un film, il giovane palestinese si dovrà probabilmente accontentare di diventare il goffo idolo di quanti sperano di vedere Facebook soccombere sotto il peso della sua stessa arroganza.