Un analista de sistemas de información palestino dió esta tremenda sorpresa a la red social tras publicar los detalles de cómo descubrió graves vulnerabilidades de seguridad en Facebook en el muro del fundador de Facebook, Mark Zuckerberg. La vulnerabilidad, descubierta por un autodenominado «Khalil,» permite a cualquier usuario de Facebook publicar en los muros de otras personas – incluso cuando los usuarios no están incluidos en su lista de amigos. «Khalil ‘había informado de la vulnerabilidad al equipo de seguridad de Facebook, pero fue ignorado. «Lo siento, esto no es un error», dijo el equipo de seguridad de Facebook en respuesta al segundo informe de Khalil, en el que se ofreció a reproducir la prueba de la vulnerabilidad expuesta en la cuenta de un experto en seguridad de Facebook, según The Drum.
Khalil luego publicó un video en YouTube que muestra cómo funcionó la vulnerabilidad, y cómo cualquier persona con conocimientos podría haber publicado cualquier cosa en la página de Facebook de cualquiera. Después de la segunda y tercera publicación en el muro del equipo de ingeniería de Facebook, Khalil publicó un mensaje en el muro de Zuckerberg: A los pocos minutos de la publicación, la cuenta de Khalil fue cerrada y un ingeniero de Facebook contactó para pedirle toda la información pertinente relativa a la vulnerabilidad. La cuenta fue finalmente restituido y se le animó a descubrir y notificar a la compañía nuevas vulnerabilidades de seguridad que pudiera encontrar en la plataforma Facebook. Khalil informó la vulnerabilidad a través de la página de comentarios de seguridad de Facebook, que ofrecía una recompensa mínima de unos 380 euros por cada informe de errores reales de seguridad en una politica de «White hat» por la que los ethical computer hacker, o expertos en seguridad en ordenadores reciben estas recompensas por encontrar estos errores, pero, en un principio, Khalil fue ignorado.
Facebook se ha negado, hasta ahora, a pagar la recompensa alegando que Khalid actuó fuera de los términos y condiciones de Facebook, aunque no está claro qué se dice que ha violado. Facebook debería pagar un mínimo de 380 euros (500 dólares) por cada violación de la seguridad reportada. De hecho, Facebook gastó 25.000 € en los primeros 21 días de su existencia en un programa de recompensa al descubrimiento de fallos de seguridad en la red. Uno de los expertos fue premiado con más de 6.000 euros por encontrar seis errores graves en la red social. A cambio, Facebook estableció inicialmente un sistema para manejar estos informes en 2010, prometiendo no iniciar acciones legales contra aquellos que encuentrasen estos errores y les dieron oportunidad de evaluarlas bajo la política de «White hat» de la compañía.
