De 27-jarige Nederlander Yvo Schaap heeft $4.500,- gekregen voor het ontdekken en melden van een beveiligingslek in Facebook. ‘Niet slecht voor een dag werken, maar in feite natuurlijk een schijntje, gezien het belang van het dichten van dit soort gaten.’ zo schrijft hij op zijn blog.
Op dat zelfde blog is ook te lezen dat de jonge ondernemer in 2009 ook al een lek ontdekte in de beveiliging van Facebook. Daar beloofde Facebook hem een t-shirt voor, wat hij nooit ontving. In 2011 lanceerde Facebook een beloningsprogramma voor hackers die op verantwoorde wijze beveiligingslekken opsporen en rapporteren.
Toen Schaap op de bijbehorende Facebookinformatiepagina keek, en las dat er ‘geen maximale beloning’ voor het opsporen en melden van een lek was, besloot hij het nog maar eens moest proberen.
Hij ontdekte een manier waarop hij de gegevens van willekeurige Facebookgebruikers kon laden via hun eigen Facebooksessie, zoals bijvoorbeeld een e-mailadres of privéfoto’s. Hoe hij dat precies deed, lees je op zijn blog of bekijk je in deze video.
Rijkelijk beloond of troostprijs?
Inmiddels is het probleem opgelost en heeft Schaap de beloning ontvangen. Wat op het eerste gezicht natuurlijk fanstastisch lijkt. Maar Schaap vind het eigenlijk veel te weinig voor een netwerk wat de gegevens beheert van meer dan een miljard mensen… Het dichten van gaten in de beveiliging is tenslotte één, maar belangrijker is dat hiermee voorkomen wordt dat de lekken worden uitgebuit door partijen die er schade mee kunnen doen.
De reacties op zijn mening en blog zijn echter verdeeld. De één is het met hem eens, de ander zegt dat hij wordt betaald voor het rapporteren van het lek. En niet voor het oplossen, want dat doet Facebook uiteindelijk zelf. Vanuit dat gezichtspunt is hij toch rijkelijk beloond voor een paar uur werk.
Wat vind jij? Moeten de ‘voorkomen gevolgen’ mee worden gerekend, of heeft Facebook een prima beloningssysteem zo?