Het beloningsprogramma waarmee Facebook hackers en beveiligingsonderzoekers beloont voor het melden van beveiligingslekken op de sociale netwerksite, legt sommige onderzoekers geen windeieren. Mariano Di Martino doet al een jaar mee aan het Facebook Bug Bounty programma en heeft inmiddels verschillende kwetsbaarheden gerapporteerd, zowel ernstig als minder ernstig van aard.

Onlangs ontdekte Di Martino een ontwerpfout wat het eenvoudigste lek bleek te zijn dat hij ooit ontdekt had. Toch waren de gevolgen van het probleem er niet minder om. De kwetsbaarheid die de onderzoeker ontdekte bevond zich in het Facebook App platform.

Het was mogelijk om toegang tot een app te hebben, zonder dat de administrator van de app dit kon zien of de rechten van deze onzichtbare gebruiker kon intrekken, tenzij de app werd verwijderd. Deze gebruiker zou wel eerst door de administrator moeten zijn uitgenodigd, bijvoorbeeld als tester.

Beloning
Facebook had het lek vijftien dagen na de melding verholpen en beloonde Di Martino met 5.000 dollar. De onderzoeker wil met zijn verhaal niet aantonen dat het vinden van beveiligingslekken eenvoudig werk is, aangezien dat meestal niet het geval is. Soms is hij uren bezig zonder iets te vinden. Vanwege de uitzonderlijke eenvoud besloot hij het verhaal over deze kwetsbaarheid met het publiek te delen.

Gisteren werd bekend dat Facebook een andere hacker 20.000 dollar had betaald voor een ernstig lek waardoor een aanvaller de accounts van andere Facebook gebruikers via de sms-functie kon overnemen. Ook dit lek is inmiddels verholpen.