Facebook no recompensará al hacker del muro de Zuckerberg por reportar la falla

Facebook no recompensará al hacker del muro de Zuckerberg por reportar la falla

No se le entregan premios a quienes prueban vulnerabilidades con usuarios reales de la red social.

Un frustrado hacker publicó en el muro de Mark Zuckerberg, luego de ser ignorado por Facebook cuando quiso reportar la vulnerabilidad de seguridad que había descubierto. La red social salió a hacer un mea culpa por esta situación, pero aun así, no recompensará al hacker por reportar la falla.

“Entiendo su frustración. Intentó reportar el error responsablemente, y fallamos en nuestra comunicación con él”, declaró el jefe de seguridad de Facebook, Joel Sullivan, en un post.

El hacker, Khalil Shreateh de Palestina, informó el error a través del programa que el sitio mantiene para recompensar a quienes reporten bugs. Su reporte fue ignorado, y Shreateh decidió actuar y publicar en el muro de Zuckerberg. Precisamente esta es la razón por la cual no recibirá una recompensa.

Sullivan señaló que quienes informan una vulnerabilidad jamás deben probarla con cuentas de personas reales, sino que deben usar cuentas falsas (que provee el propio Facebook) para hacer los test.

No cambiaremos nuestra práctica de rechazar pagar recompensas a quienes hayan probado vulnerabilidades contra usuarios reales”, señala.

A modo de disculpa, Sullivan indicó que reciben cientos de mensajes al día, de los que solo algunos resultan ser verdaderos bugs. Por esta razón, el reporte de Shreateh puede haber sido descartado sin examinarlo con la detención necesaria. “Deberíamos haber explicado a este investigador que su mensaje inicial no nos entregaba suficientes detalles para permitirnos replicar el problema”, afirmó.

El jefe de seguridad afirmó que se harán cambios en la forma en que se pide el envío de los reportes, de modo que las personas que los envíen manden la información necesaria sin malos entendidos.

Pese a que Facebook no le dará dinero, puede que Shreateh reciba igual una recompensa. El jefe de tecnología de la empresa BeyondTrust, Marc Maiffret, lanzó una campaña de donaciones para premiarlo.

“Hizo algo bueno. Puede que lo haya hecho ligeramente mal, pero al final era un error que logró extinguir antes de que cualquiera hiciera algo malo con él”, indicó Maiffret a Wired. La colecta ya lleva más de USD$9.000 recolectados.

Link: Facebook