Палестинский хакер по имени Халил решить разместить объявление о найденном баге на странице CEO Facebook Марка Цукерберга, поскольку не смог донести информацию до службы поддержки.
Безработный хакер Халил Шритех из Палестины решил проверить, как работает в Facebook выплата денег по программе вознаграждений за найденные уязвимости. Хакер нашел баг, с помощью которого можно написать сообщение на стене любого пользователя Facebook даже в том случае, если эта страница не принадлежит вашему другу и защищена настройками приватности.
Для того, чтобы продемонстрировать баг, Халил опубликовал сообщение на стене однокурсницы Цукерберга Сары и отправил ссылку на это сообщение в отдел безопасности Facebook. Однако группа разработчиков ответила отказом, так как они не смогли повторить баг. И к тому же не смогли открыть присланную ссылку на сообщение, так как стена Сары доступна только для ее друзей.
Спустя еще несколько попыток Халил понял безнадежность своих попыток получить вознаграждение и решил пойти на крайние меры: он опубликовал сообщение с описанием бага и всей ситуации прямо на стене Марка Цукерберга. Только так внимание специалистов по безопасности Facebook было наконец привлечено. В комментариях к скриншоту один из специалистов попросил выслать подробности об эксплойте, после чего аккаунт Халила был дезактивирован.
После короткой переписки с сотрудниками Facebook оказалось, что аккаунт дезактивировали по ошибке, так как действия хакера посчитали вредоносными. Вскоре аккаунт снова активировали, но отдел безопасности написал, что хакер не может претендовать на получение вознаграждения, потому что своими действиями нарушил условия использования сервиса. В следующий раз ему посоветовали более грамотно оформлять письма с описанием уязвимостей, в том числе прилагать пошаговую инструкцию для воспроизведения уязвимости.
