Mit einer ungewöhnlichen Strategie hat ein palästinensischer Hacker auf eine Sicherheitslücke bei Facebook hingewiesen. Weil seine E-Mails von der Sicherheitsabteilung des Unternehmens ignoriert wurden, postete er eine Nachricht auf die Profilseite des Facebook-Gründers Mark Zuckerberg. Damit zeigte er gleichzeitig, welchen Fehler er gefunden hatte: Eigentlich sollte es nicht möglich sein, auf die Pinnwand eines Facebook-Nutzers zu schreiben, wenn dieser es nicht erlaubt hat.

Auf Zuckerbergs Pinnwand schrieb der Hacker, der sich Khalil nennt, in gebrochenem Englisch: "Lieber Mark Zuckerberg, zuerst einmal bitte ich um Entschuldigung, dass ich Ihre Privatsphäre-Einstellungen umgehe und auf Ihre Facebook-Pinnwand schreibe, aber ich hatte keine andere Wahl nach all den Berichten, die ich an das Team von Facebook gesendet habe." Er hoffe, dass sich jemand aus dem IT-Team von Facebook bei ihm melden werde, schloss Khalil seine Nachricht von vergangener Woche. Innerhalb kürzester Zeit hatte sie zahlreiche Likes eingesammelt. Sein genaues Vorgehen dokumentiert der Hacker auf seinem Blog.

Für Hinweise auf Sicherheitslücken zahlt Facebook eine Belohnung

Das US-Blog All Things Digital berichtet, Facebook habe auf diesen Hinweis des Hackers umgehend reagiert und den Fehler am Donnerstag behoben. Im Hacker-Forum Hacker News meldete sich ein Mitarbeiter aus Facebooks Sicherheitsteam, der sich mit Hinweisen sogenannter Whitehat-Hacker befasst. So werden IT-Experten genannt, die sich in Systeme hacken, um ihre Sicherheit zu testen – nicht, um zu stören. Facebook ermutigt solche Hacker, an der Sicherheit der Seite mitzuarbeiten und lobt sogar eine Belohnung von mindestens 500 Dollar aus. Die höchste Summe, die bislang gezahlt wurde, betrug 20.000 Dollar.

In dem verifizierten Forumsbeitrag räumt ein Facebook-Mitarbeiter ein, dass Khalils Hinweisen hätte nachgegangen werden müssen. Allerdings hätte man aufgrund der fehlenden Englischkenntnisse Probleme gehabt, sein Anliegen nachzuvollziehen, wichtige Informationen hätten gefehlt.  

"Wir bekommen viele Reports, die Unsinn sind oder in eine falsche Richtung führen", schreibt der Mitarbeiter. "In diesem Fall hätten wir aber nachhaken und nach mehr Details fragen müssen." Die Hartnäckigkeit des Hackers belohnt Facebook nicht: Da er sich nicht an die Unternehmensrichtlinien gehalten habe, bekomme er für die entdeckte Sicherheitslücke keine Belohnung.