¿Por qué Facebook rescindió la oferta de pasantía de Aran Khanna?

Lo mejor que he leído sobre esto proviene de Gawker:

” En la tarde del 29, tres días después de mis publicaciones iniciales, Facebook me llamó por teléfono para informarme que estaba cancelando la oferta de una pasantía de verano, citando como una razón por la cual la extensión violó el acuerdo de usuario de Facebook al” raspar “el sitio El jefe de recursos humanos globales y reclutamiento siguió con un mensaje de correo electrónico que decía que la publicación de mi blog no reflejaba los “altos estándares éticos” en torno a la privacidad del usuario que se espera de los pasantes. Según el correo electrónico, el problema de privacidad no era con Facebook Messenger, sino más bien con mi publicación de blog y código que describe cómo Facebook recopiló y compartió los datos de ubicación geográfica de los usuarios.

Esa respuesta es una mierda. La difusión de vulnerabilidades de seguridad de software no solo es una práctica honrada (¡y recompensada!) En empresas de tecnología, sino que, sobre todo, sus colegas han difundido el mito del hacker virtuoso, la compañía que creó la jerga estándar de “hackathon” para los MBA. Antes de que la empresa se hiciera pública, Mark Zuckerberg escribió una carta pesada a los inversores titulada “The Way of the Hacker”:

“La cultura hacker es … extremadamente abierta y meritocrática. Los hackers creen que la mejor idea e implementación siempre debe ganar “.

A menos que la mejor idea avergüence a Facebook, claro está. Khanna me dijo por teléfono que, para empezar, era exactamente esta “cultura hacker” lo que lo atrajo a la pasantía. Pero después de ejemplificar esa cultura llamando a su empleador por prácticas de privacidad flexibles, ¡como si fuera el primero! – Facebook le dijo que “claramente no le importaba la privacidad del usuario”, y la oferta fue cancelada. La ironía de que Facebook critique a un joven estudiante de Harvard por infringir las reglas con su computadora está fuera de lugar.

Pero también da miedo que Facebook prefiera preservar su imagen que admitir irregularidades y, por ejemplo, darle a Aran Khanna una oferta de trabajo a tiempo completo para mostrar iniciativa y un evidente interés en la privacidad del usuario. Por suerte para Aran, es claramente inteligente como una mierda, y estoy seguro de que otra firma de tecnología menos astuta lo usará pronto. Su currículum está en su sitio web.

Fuente: Facebook retira la pasantía de College Kid después de que expone la fuga de privacidad

Como no empleado de Facebook, Aran Khanna estaba ciertamente en su derecho de destacar características y preocupaciones relacionadas con la privacidad con respecto a una propiedad de Internet como Facebook.

Como empleado de Facebook (que Aran Khanna habría sido en breve), se regiría por el tipo de código, aplicaciones, etc. que los empleados pueden publicar y qué tipo de declaraciones públicas y divulgaciones pueden hacer.

Aran Khanna no era un empleado, pero estaba a punto de convertirse en uno. Y, por lo tanto, se rige por el código de conducta de los empleados de Facebook. Incluso si la publicación de Khanna ocurrió antes de que él fuera un empleado, todavía estaba viva, todavía en Internet.

Como una consideración práctica, era mejor que Facebook retirara la oferta de pasantía en lugar de que Aran se uniera solo para terminar su empleo días después.

Hay una hipérbole en ambos lados de este problema.

En varios sitios de Internet, he visto reacciones que van desde elogios a Aran Khanna como héroe en las guerras de privacidad, hasta el despido de sus acciones como las de un joven ingenuo sin sofisticación en formas corporativas. Ninguno de los dos es del todo cierto.

El problema que Khanna destacó era bien conocido (en círculos técnicos) y también conocido en Facebook. Facebook había telegrafiado previamente que no les importaba mucho el intercambio predeterminado de la ubicación del usuario en los mensajes. Desde esa perspectiva, los “estándares éticos” de Khanna estaban en sintonía con los de Facebook.

Como tal, no hubo ningún “error” que debería haber sido revelado a Facebook primero. Facebook era muy consciente del problema y simplemente eligió no actuar al respecto hasta que la atención de los medios les indicara lo contrario.

Específicamente, la ubicación compartida en los mensajes se consideraba una característica, aunque muchos usuarios no la conocían. Khanna profundiza un poco sobre el tema en su propia redacción: “Respuesta a incidentes de privacidad de Facebook: un estudio de uso compartido de geolocalización en Facebook Messenge”. No fue la existencia de la “característica” tanto como los usuarios de repente lo supieron (y la prensa también la promocionó) lo que hizo que Facebook se equivocara.

Algunas personas particularmente cínicas han sugerido que todo el incidente pudo haber sido anticipado por Khanna, quien luego usó la publicidad resultante para obtener un mejor trabajo y una mayor exposición profesional. No creo que ese sea el caso tampoco.

Cuando comencé a dar a conocer a las empresas los problemas de seguridad, inicialmente me desconcertó lo desatentos que fueron muchos cuando se me acercaron las vulnerabilidades graves. La prioridad parecía ser evitar la prensa negativa, en lugar de abordar los problemas que podrían afectar a los usuarios reales.

Me di cuenta rápidamente de que esto significaba que abordar a las empresas sobre problemas de seguridad a través de la prensa era la única forma garantizada de llamar su atención. Y chico, ¿eso llama su atención alguna vez? No siempre en el buen sentido. Pero hasta el día de hoy estoy sorprendido por lo que el público maneja.

Por ejemplo, cuando comprometí a MCI WorldCom, tuve acceso a redes privadas para bancos, para la NASA, para otras agencias gubernamentales. El potencial real de daño era masivo. Pero fue hackear The New York Times que la gente se volvió loca, debido al factor celebridad.

Esto fue extraño para mí, la idea de que la gente se preocupara más por el número de seguro social de Robert Redford o el número de teléfono de la casa de Rush Limbaugh que por el potencial de apagar la banca en Estados Unidos. No lo entendí. Aún no lo hago.

Como resultado, me imagino a Khanna sin imaginar cuán en deuda están las grandes empresas con sus titulares. No hizo nada malicioso. Ni siquiera hizo algo irresponsable. Probablemente hizo lo que le vino naturalmente y aprendió una rápida lección sobre política corporativa en el proceso.

Relacionado:

• La respuesta de Adrián Lamo a ¿Cuánto tiempo le toma a Adrian Lamo piratear Facebook?
• La respuesta de Adrián Lamo a ¿Cómo se puede hackear una cuenta de Facebook a pesar de que ahora es HTTPS?
• La respuesta de Adrián Lamo a ¿Hay un software en línea que piratee cuentas de Facebook?

Adrián Lamo tenía posiblemente el mejor punto hasta ahora: “Hay una hipérbole en ambos lados del tema”. Sin embargo, eso no excusa las acciones tomadas por Aran Khanna. Su despido resultó de hacer públicos los problemas de Facebook. Puede que Khanna no haya trabajado con Facebook en el momento exacto en que salió a bolsa, pero el sentido común dicta que se espera lealtad a una compañía con la que pronto trabajará. Si hubiera pasado por los “canales adecuados” primero y luego se hubiera hecho público sin ninguna reacción, empatizaría un poco más. Pero el hecho es que, como agente libre, tomó la decisión de criticar públicamente a su (futuro) empleador y eso tuvo consecuencias negativas.

Personalmente, creo que su responsabilidad debería haber sido ante todo su empleador. No debería haberlo hecho público en forma de una aplicación. Debería haber llevado el problema de vulnerabilidad directamente a sus superiores y se lo había señalado.
Obviamente, una persona brillante e innovadora, que es exactamente lo que cualquier empresa desearía. Todavía no lo emplearía, me preocuparía que hiciera un truco irresponsable similar. Demasiado arriesgado. Muchas otras personas brillantes e innovadoras con un sentido de responsabilidad por ahí.