Ha creato un virus che trasformava gli account di Facebook in pagine di MySpace, e il social network di Mark Zuckerberg invece di denunciarlo lo ha assunto. E’ la storia dell’hacker Chris Putnam, raccontata in prima persona sul sito web quora.com.
WORM DI FACEBOOK – Alla fine del 2005 Chris, all’epoca 19enne, ha lavorato alla creazione di una serie di virus su Facebook con i suoi amici Marcel Laverdet e Kyle Stoneman. Uno di questi virus era un worm basato sul Cross-site scripting (XSS), una vulnerabilità che affligge alcuni siti web. Riuscendo a diffondersi attraverso i profili del social network. Il worm code si replicava di utente in utente in modo rapido e silenzioso, diffondendosi in modo virale attraverso gli amici che guardavano il profilo di qualcun altro.
EFFETTI A SORPRESA – Prima di inserire il worm nel social network, Marcel e Chris scrissero un breve file in Java Script che replicava diverse delle funzionalità di Facebook come aggiungere un amico, spedire un poke, inviare un messaggio, scrivere sulla bacheca, eccetera. Questo ha consentito ai giovani hacker di modificare rapidamente lo script principale per produrre una serie di effetti «a sorpresa» sugli account che passavano sotto il loro controllo grazie al virus. Passando quindi alla fase esecutiva, Putnam ha inviato una richiesta a un amico dal suo account di prova.
DA FACEBOOK A MYSPACE – In questo modo, poteva visualizzare facilmente il numero degli utenti infettati, mentre il numero di richieste di amicizia senza risposta comparivano sulla sua homepage. Nel frattempo, Marcel e Kyle stavano preparando un foglio stile che trasformava l’aspetto dei profili di Facebook in profili di MySpace. «Era un lavoro che faceva molto effetto e riarrangiava tutti i campi del profilo in sgradevoli caselle di MySpace e schemi colorati». E così la prima generazione del worm, non appena infettava un nuovo profilo, produceva tre conseguenze: faceva sì che diventasse «amico» con l’account di Chris; trasformava lo stile del profilo rendendolo simile a quello di MySpace; faceva sì che anche il nuovo profilo diventasse contagioso.
INFETTATO ANCHE ZUCKERBERG? – In meno di 24 ore Facebook iniziò a ricevere le lamentele degli utenti, che non capivano che cosa fosse successo al loro profilo. E questo portò rapidamente a una serie di richieste d’amicizia scherzose da parte di numerosi dipendenti di Facebook non appena erano infettati, incluso un account interno di prova chiamato «The Creator», «Il Creatore». Come rivela sempre Putnam, «vedendo come si era diffusa l’infezione, abbiamo immaginato che Mark Zuckerberg fosse stato costretto a fare il punto e dichiarasse che l’operazione era stata uno straordinario successo. Tra l’altro, “The Creator” non era l’account di Zuckerberg, e non posso dire con certezza se il fondatore di Facebook sia stato o meno contagiato dal virus».
MESSAGGIO DI MOSKOVITZ – E aggiunge l’ex hacker: «Con il senno di poi, abbiamo pensato che avremmo potuto diffondere il worm il più possibile, senza nessun sintomo visibile. Ma all’epoca confidavo molto nel fatto che Facebook avrebbe identificato il vettore del virus prima che riuscisse ad andare molto lontano, e quindi volevo vedere il maggior numero possibile di profili con il foglio di stile personalizzato». Questa ingenuità fece sì che il suo account fosse individuato da Facebook. Presto Putnam ricevette un messaggio privato sulla sua casella personale di Facebook dal cofondatore Dustin Moskovitz. «Il fatto che conoscesse la mia identità per me non fu una grande sorpresa, dal momento che l’interazione del worm con il mio account era scontata. Anzi eravamo arrivati a fornire delle informazioni su come contattarci».
«MOLTO DIVERTENTE» – E nel messaggio di Moskovitz era scritto più o meno: «Hey, tutto questo è divertente, ma sembrerebbe che tu stia cancellando le informazioni sui contatti dai profili degli utenti quando il worm si replica nuovamente. E questo non è bello». Fu l’inizio di una lunga serie di botta e risposta tra Chris e Dustin, nel corso del quale l’hacker spiegò a Moskovitz il worm nei dettagli e altri punti deboli che aveva identificato nel social network. I due continuarono a scambiarsi informazioni su Facebook per circa un mese.
PAURA DELLA POLIZIA – Come racconta sempre Putnam, «all’epoca stavo mi stavo abbastanza annoiando del college alla Georgia Southern University e volevo davvero trasferirmi nella Silicon Valley. Nel gennaio 2006 un amico di San Francisco mi propose di fare un colloquio nella sua azienda, e questa sembrava una grande opportunità per trasferirmi. Lo raccontai a Dustin, e lui mi offrì immediatamente di fare un colloquio nella sede Facebook». Alcuni mesi prima, un teenager aveva creato un worm contro MySpace, e il social network gli aveva promesso di assumerlo, ma al momento del colloquio lo aveva fatto arrestare. Pur temendo di fare la stessa fine, Chris però decise lo stesso di correre il rischio: «Fu tutto tranquillo fino a che mi trovai di fronte alla sede di Facebook a Palo Alto. Ma arrivato a quel punto, iniziai a temere che non appena fossi stato dentro avrebbero cambiato atteggiamento».
ASSUNTO A PALO ALTO – E prosegue Putnam: «Salii al secondo piano dove dovevo incontrarmi con Dustin, la porta si aprì e trovai Moskovitz – e non i poliziotti – in piedi di fronte a me. Per me fu un enorme sollievo, e svanito quel timore il colloquio in confronto fu una passeggiata». Chris fu assunto e iniziò a lavorare per Facebook pochi giorni dopo il colloquio. E conclude l’ex hacker: «Sarò sempre grato a Facebook per essere stato così comprensivo nei miei confronti. E’ una delle cose che davvero distingue il social network, grazie alla sua passione per gli ingegneri stravaganti e con un passato da hacker».
(Pietro Vernizzi)