Hay una hipérbole en ambos lados de este problema.
En varios sitios de Internet, he visto reacciones que van desde elogios a Aran Khanna como héroe en las guerras de privacidad, hasta el despido de sus acciones como las de un joven ingenuo sin sofisticación en formas corporativas. Ninguno de los dos es del todo cierto.
El problema que Khanna destacó era bien conocido (en círculos técnicos) y también conocido en Facebook. Facebook había telegrafiado previamente que no les importaba mucho el intercambio predeterminado de la ubicación del usuario en los mensajes. Desde esa perspectiva, los “estándares éticos” de Khanna estaban en sintonía con los de Facebook.
Como tal, no hubo ningún “error” que debería haber sido revelado a Facebook primero. Facebook era muy consciente del problema y simplemente eligió no actuar al respecto hasta que la atención de los medios les indicara lo contrario.
Específicamente, la ubicación compartida en los mensajes se consideraba una característica, aunque muchos usuarios no la conocían. Khanna profundiza un poco sobre el tema en su propia redacción: “Respuesta a incidentes de privacidad de Facebook: un estudio de uso compartido de geolocalización en Facebook Messenge”. No fue la existencia de la “característica” tanto como los usuarios de repente lo supieron (y la prensa también la promocionó) lo que hizo que Facebook se equivocara.
Algunas personas particularmente cínicas han sugerido que todo el incidente pudo haber sido anticipado por Khanna, quien luego usó la publicidad resultante para obtener un mejor trabajo y una mayor exposición profesional. No creo que ese sea el caso tampoco.
Cuando comencé a dar a conocer a las empresas los problemas de seguridad, inicialmente me desconcertó lo desatentos que fueron muchos cuando se me acercaron las vulnerabilidades graves. La prioridad parecía ser evitar la prensa negativa, en lugar de abordar los problemas que podrían afectar a los usuarios reales.
Me di cuenta rápidamente de que esto significaba que abordar a las empresas sobre problemas de seguridad a través de la prensa era la única forma garantizada de llamar su atención. Y chico, ¿eso llama su atención alguna vez? No siempre en el buen sentido. Pero hasta el día de hoy estoy sorprendido por lo que el público maneja.
Por ejemplo, cuando comprometí a MCI WorldCom, tuve acceso a redes privadas para bancos, para la NASA, para otras agencias gubernamentales. El potencial real de daño era masivo. Pero fue hackear The New York Times que la gente se volvió loca, debido al factor celebridad.
Esto fue extraño para mí, la idea de que la gente se preocupara más por el número de seguro social de Robert Redford o el número de teléfono de la casa de Rush Limbaugh que por el potencial de apagar la banca en Estados Unidos. No lo entendí. Aún no lo hago.
Como resultado, me imagino a Khanna sin imaginar cuán en deuda están las grandes empresas con sus titulares. No hizo nada malicioso. Ni siquiera hizo algo irresponsable. Probablemente hizo lo que le vino naturalmente y aprendió una rápida lección sobre política corporativa en el proceso.
Relacionado:
- La respuesta de Adrián Lamo a ¿Cuánto tiempo le toma a Adrian Lamo piratear Facebook?
- La respuesta de Adrián Lamo a ¿Cómo se puede hackear una cuenta de Facebook a pesar de que ahora es HTTPS?
- La respuesta de Adrián Lamo a ¿Hay un software en línea que piratee cuentas de Facebook?