Der zurzeit arbeitslose Programmier Khalil S. aus Palästina hat eine Sicherheitslücke auf Facebook gefunden und diese entsprechend an das Sicherheitsteam des Sozialen Netzwerks gemeldet. Entgegen seiner Vorstellungen wurde allerdings zu wenig unternommen und die Sicherheitslücke somit nicht geschlossen.
Facebook auf die Sicherheitslücke aufmerksam machen
Nach dem aus der Sicht von Khalil S. die gemeldete Sicherheitslücke nach seiner Auffassung nicht entsprechend behandelt wurde – zeigte er in Verbindung mit der Profil-Seite des Facebook Gründers Mark Zuckerbergs, wie die Sicherheitslücke ausgenutzt werden könnte. Khalil S. schrieb auf der Facebook-Seite von Mark Zuckerberg sinngemäß folgendes:
„Lieber Mark Zuckerberg,
ich möchte Sie zunächst um Entschuldigung dafür bitten, dass ich Ihre Privatsphäre Einstellungen umgangen habe und eben diesen Post auf Ihrer Pinnwand veröffentliche. Leider bleib mir keine andere Wahl, nachdem ich den Bug an das Facebook Sicherheitsteam schickte. Mein Name ist Khalil und ich komme aus Palästina.“
Der Fehler ermöglicht es auf Facebook-Seiten anderer zu Posten, obwohl keine Vernetzung bzw. keine Freundschaft und somit eigentlich kein Kontakt besteht. Dadurch könnte potentiellen Betrügern eine Tür geöffnet werden.
Reaktion von Facebook
Als erste Reaktion hat Facebook den Account von Khalil, aufgrund von Sicherheitsmaßnahmen, gesperrt. Facebook selbst hat erklären lassen, dass das Sicherheitsteam hätte besser auf die Informationen seitens Khalil reagieren sollen, allerdings bei einigen hundert Nachrichten pro Tag ist es schwer die Übersicht zu bewahren und die Informationen von Khalil wären nicht ausreichend gewesen. Angeblich wurde die Sicherheitslücke bereits in der vergangenen Woche geschlossen.
Ob Facebook sich dennoch erkenntlich für das Aufzeigen des Fehlers zeigt, ist allerdings unwahrscheinlich, da Khalil mit dem Ausnutzen des Bugs gegen die Sicherheitsbestimmungen von Facebook verstoßen hat. In der Regel erhalten Nutzer die eine Sicherheitslücke erkennen und diese Ordnungsgemäß an das Unternehmen melden, eine Prämie als Danke-Schön ausbezahlt. Das ist auch bei anderen Unternehmen, nicht nur Facebook, üblich.