Un informatico della società di sicurezza informatica Devcore che si fa chiamare Orange Tsai ha pubblicato un singolare racconto di come è riuscito a penetrare in Facebook e vi ha trovato una sorpresa inaspettata.

In sintesi, Orange ha iniziato con una ricognizione del bersaglio, come si fa spesso in questi casi, scoprendo che Facebook era intestataria di un nome di dominio piuttosto insolito, ossia vpn.tfbnw.net. Da lì ha scoperto che esisteva anche files.fb.com, che era un server dedicato alla collaborazione all’interno dell’azienda.

Il server aveva alcuni difetti di sicurezza, per cui Orange Tsai è riuscito a creare una web shell, ossia è stato in grado di eseguire da remoto comandi sul server come se fosse stato uno dei suoi gestori interni.

Qui è arrivata la sorpresa: si è accorto che sul server di Facebook c'erano molti file che non appartenevano a Facebook ma erano chiaramente avanzi lasciati da un intruso che era arrivato prima di lui. Uno dei file era un log che conteneva delle credenziali di login di Facebook non cifrate: nomi utente e password di dipendenti di Facebook, si presume.

Quando Orange Tsai ha informato Facebook della vulnerabilità, è stato ricompensato con 10.000 dollari di premio, ma Facebook non si è detta particolarmente preoccupata per quello che Orange aveva trovato: gli ha spiegato che l’intruso precedente era una persona che partecipa alla caccia ai difetti di sicurezza promossa da Facebook. Come faccia Facebook a saperlo resta un mistero.