Reginaldo Silva นักวิจัยความปลอดภัยคอมพิวเตอร์ ผู้ค้นพบบั๊กในโมดูล OpenID ของ Drupal เมื่อปี 2012 รายงานบั๊กในระบบ OpenID ของเฟซบุ๊ก ทำให้ผู้ใช้สามารถรันคำสั่งใดๆ ก็ได้บนเซิร์ฟเวอร์ของเฟซบุ๊ก (remote code execution) จากระดับความร้ายแรงของบั๊กทำให้เขาได้รับเงินรางวัลถึง 33,500 ดอลลาร์ หรือประมาณหนึ่งล้านบาท

ทีมวิศวกรของเฟซบุ๊กแก้ปัญหานี้ภายในเวลาไม่กี่ชั่วโมงหลังได้รับรายงาน โดย Silva บันทึกเวลาของการรายงานบั๊กนี้ทั้งหมดไว้ เมื่อวันที่ 19 พฤศจิกายนที่ผ่านมา เขารายงานบั๊กไปยังเฟซบุ๊กครั้งแรกและเกือบสองชั่วโมงต่อมาเฟซบุ๊กก็ติดต่อกลับมาซึ่งทาง Silva ส่งตัวอย่างการโจมตีไปให้ภายในสิบนาที ทีมงานแก้ปัญหาภายในสองชั่วโมงและตอบมาว่ากำลังนำขึ้นระบบจริงภายในครึ่งชั่วโมง

กระบวนการที่ช้าคือการพิจารณาเงินรางวัล เฟซบุ๊กใช้เวลากว่าหนึ่งเดือนในการพิจารณาความร้ายแรงของปัญหา และตัดสินใจจัดเป็นบั๊กที่มีโอกาสจะเป็นบั๊ก remote code execution (RCE) โดยไม่ยอมรับว่าเป็นบั๊ก RCE ตรงๆ

ที่มา - Facebook, The Hacker News, Ubercomb