Digital Ingénieur en systèmes d'information, Khalil Shreateh, a découvert une grosse faille permettant de poster des messages sur les profils Facebook de n'importe qui. Y compris sur les profils protégés. Le Palestinien a donc rapidement informé la société. Mais le personnel chargé de la sécurité lui a assuré n'avoir trouvé aucun bug. Sur son blog , il relate toutes ses démarches.

Sûr de sa découverte, Khalil Shreateh teste alors la faille sur le profil d'une amie de fac de Mark Zuckerberg, Sarah Goodin. Il précise à Facebook qu'il est capable de réitérer sa démarche sur la timeline du fondateur du réseau social. Là encore, la firme l'ignore. Le hacker finit, à contre cœur, par mettre sa menace à exécution. "Cher Mark Zuckerberg. Tout d'abord, je m'excuse de violer ainsi votre vie privée et de poster sur votre mur, mais je n'avais pas d'autre choix après tous les messages que j'ai envoyés à l'équipe de Facebook", a-t-il écrit.

Il est finalement contacté par un ingénieur de la société qui lui demande des précisions sur sa découverte. Khalil Shreateh s'exécute mais, malgré son honnêteté, ne recevra jamais les 500 dollars (minimum) promis par Facebook lorsqu'un internaute remarque une vulnérabilité du site. Pire, son compte est désactivé pour "avoir violé les conditions d'utilisation du service", temporairement...

Cité par le site Hacker News, un employé de la firme affirme que la faille a été corrigée le 16 août. Il explique également pourquoi le compte de Khalil Shreateh a été fermé. L'erreur de l'ingénieur palestinien a été d'exploiter le bug "pour affecter des utilisateurs", ce qui n'est pas "acceptable" même s'il n'avait pas pour but de leur nuire.