Khalil Shreateh, un passionné d'informatique vivant en Palestine, a montré qu'il y avait une vulnérabilité dans Facebook en postant un message sur la Timeline de Mark Zuckerberg. Il avait  signalé ce bug au réseau social par email, mais son message n'avait pas été pris en compte. «  Il y a plusieurs jours, j'ai découvert une faille critique sur Facebook qui permettait à un membre de poster du contenu sur le journal des utilisateurs même s'ils ne faisaient pas partie de sa liste d'amis », avait-il indiqué dans un e-mail publié sur son blog. Khalil Shreateh, avait fait remonter la faille sur White Hat, le programme de récompense de chasseurs de bugs.

Le bug a finalement été corrigé jeudi, a indiqué Matt Jones, ingénieur logiciel chez Facebook. Dimanche dernier, le réseau social a confirmé le post de Matt Jones qui a mis ce retard sur le compte du nombre élevé de rapports que la plate-forme reçoit,  ainsi que sur des problèmes de communication. « Comme quelques autres commentateurs l'ont souligné, nous recevons des centaines de rapports chaque jour», a-t-il souligné « Or, un grand nombre provient de personnes dont l'anglais n'est pas très bien maîtrisé »

La méthode employée n'est pas la bonne

Khalil Shreateh a enfreint la politique de rapport de bugs de Facebook en présentant la faille sur la page d'un utilisateur réel, a ajouté l'ingénieur logiciel. Il l'avait précédemment signalée à Facebook en postant un message sur la page d'une femme qui était allée au collège avec Mark Zuckerberg. Il ressort de la correspondance par courriel postée par le hacker sur son blog que Facebook ne pensait pas dans un premier temps qu'il avait trouvé un bug. Le Palestinien a ensuite posté son message sur la Timeline de Mark Zuckerberg. Son blog contient une capture d'écran d'un mail dans lequel il lui présente ses excuses.

Facebook a brièvement suspendu, puis réactivé le compte du hacker, l'informant que son rapport ne contient pas suffisamment de détails techniques. La société a déclaré qu'il n'était pas admissible de recevoir une récompense dans le cadre du programme de primes dans la mesure où ses conditions de service avait été enfreintes  « Le point le plus important dans ce cas-ci réside dans la manière dont le bug a été présenté en utilisant les comptes de vraies personnes sans leur permission », a fait valoir Matt Jones. « Le fait d'exploiter des bugs qui impactent des utilisateurs réels n'est pas un comportement acceptable pour obtenir une récompense ».