Facebookの脆弱性をザッカーバーグ氏のページで報告した専門家、規約違反で報奨金なし

　Facebookの脆弱性を発見したと主張するパレスチナ人のIT専門家が、Facebookのセキュリティチームにバグを報告したものの無視されたことから、このバグ報告書を同社最高経営責任者（CEO）であるMark Zuckerberg氏のFacebookページに投稿した。

　発見者のKhalil Shreateh氏は米国時間8月17日、この脆弱性は、相手が友人かどうかに関わらず、誰もが自分以外のユーザーのページに自由に投稿することを可能にするとブログ投稿で述べた。Shreateh氏は当初、Facebookの「ホワイトハット」セキュリティ発見サービスを通じてこの脆弱性を報告していた。同サービスでは、正当なバグ報告に対し、最低500ドルの報奨金を提供している。

　ところが、Shreateh氏がZuckerberg氏の友人Sarah Goodwin氏のFacebookページでこのバグを実際に披露して見せたにもかかわらず、FacebookのセキュリティエンジニアからShreateh氏に告げられたのは「申し訳ないが、これはバグではない」というそっけない言葉だった。

　Shreateh氏は大胆にも、Zuckerberg氏のページにコメントを投稿して自身の体験をZuckerberg氏と共有することを決断し、Zuckerberg氏に対してその投稿を詫びつつも「ほかに選択肢はなかった」とした。

　Shreateh氏はZuckerberg氏のタイムラインに載せた投稿で、「私は数日前、ユーザーが友達リストに含まれていない他のFacebookユーザーのタイムラインに投稿することを可能にするという、深刻なエクスプロイトがFacebookに存在することを発見した」と述べた。「これを読んでくださったことに感謝するとともに、貴社のチームから連絡を頂けたら幸いに思う」

　Shreateh氏は、投稿から数分以内にFacebookのセキュリティチームから連絡を受け、このエクスプロイトの詳細を尋ねられたと述べた。その上で、自身のFacebookアカウントが直ちに無効にされたことを明らかにした。セキュリティエンジニアから、同氏のアカウントは「予防措置」として無効にされたと告げられたという。

　さらに、同セキュリティチームの「Joshua」と名乗る担当者はShreateh氏に対し、このエクスプロイト報告はFacebookの利用規約に違反しているため、バグ報奨金を支払うことはできないと伝えた。

　Facebookのセキュリティエンジニアは17日、Hacker Newsの投稿で、この脆弱性は修正されたと回答するとともに、Shreateh氏から最初の報告を受けた後、この問題についてさらに詳しく尋ねるべきだったと認めた。このエンジニアは、Shreateh氏から提供されたバグに関する情報が不十分であったことに加えて、Shreateh氏がZuckerberg氏のタイムラインに投稿したことは、Facebookの責任ある情報公開ポリシーへの違反にあたると記している。

　このエンジニアは「バグを悪用して現実のユーザーに影響を及ぼすことは、ホワイトハットとしては受け入れ難い行為だ」と述べ、調査する人は、調査に協力する目的であればテストアカウントの作成を認められていると付け加えた。

Zuckerberg氏のFacebookページに投稿されたバグ報告
提供：Khalil Shreateh