Nachdem Facebook auf seine E-Mails nicht reagiert, postet ein Entwickler kurzerhand eine Warnung vor einer Schwachstelle des sozialen Netzwerks in der Timeline des Unternehmensgründers Mark Zuckerberg. Facebook reagiert prompt.

Eigentlich fordert Facebook dazu auf, Schwachstellen zu melden und zahlt Entdeckern sogar eine Belohnung. Allerdings muss man sich an den offiziellen Weg für solche Meldungen halten, wenn man 500 oder mehr Dollar kassieren möchte.

Der palästinensische Entwickler und Sicherheitsexperte Khalil S. hat dies versucht. Er fand eine Lücke in dem sozialen Netzwerk, die es ermöglichte, in der Timeline eines beliebigen Facebook-Nutzers Nachrichten zu posten. Er meldete das Problem mehrmals inklusive Beispiel und Lösungsvorschlag, erhielt aber jedesmal nur äußerst knapp formulierte Absagen.

Höflich, aber direkt

Schließlich hatte Khalil S. die Nase voll und beschloss, Facebook seinen Fehler sehr deutlich vor Augen zu führen. Er veröffentlichte einen "offenen Brief" direkt in der Timeline von Unternehmensgründer Mark Zuckerberg. Darin entschuldigt er sich höflich für die Verletzung der Privatsphäre und schreibt, das Facebook-Team habe ihm keine andere Wahl gelassen. Er schildert das Problem und bedankt sich dafür, dass Zuckerberg sich die Zeit genommen hat, "das hier zu lesen und jemanden in Ihrem Unternehmen dazu zu bringen, mich zu kontaktieren."

Offenbar tat Zuckerberg genau das. Denn die Webseite "Techcrunch" schreibt, Facebook habe sich daraufhin innerhalb weniger Minuten bei ihm gemeldet. Auch die Sicherheitslücke wurde ruckzuck geschlossen.

Eine Belohnung für seine Tat darf Khalil S. von Facebook aber nicht erwarten. Man bekomme täglich hunderte Bug-Reports, schreibt Facebook-Ingenieur Matt Jones auf "Hacker News". Einige seien wie die Meldungen von Khalil S. in gebrochenem Englisch formuliert und viele seien Unsinn. Das sei eine Herausforderung, aber man komme damit gewöhnlich klar und Facebook habe bereits über eine Million Dollar an Fehlermelder ausbezahlt. In diesem Fall hätte sein Team zwar nachhaken sollen, räumt er ein. Aber Khalil S. habe gegen die Regeln verstoßen, als er die Schwachstelle demonstrierte, indem er die Konten von realen Personen missbrauchte.