Facebook memberikan penghargaan kepada seorang insinyur komputer dan peneliti keamanan asal Brazil, Reginaldo Silva dengan uang sebesar 33.500 Dollar Amerika atau senilai 400 Juta rupiah lebih karena telah menemukan dan melaporkan vulnerability di Facebook.
Dengan semakin sulitnya menemukan sebuah bug ataupun lubang keamanan hari-hari ini, apa yang dilakukan Facebook dengan penghargaan sebesar itu adalah satu penghargaan yang terbesar sampai saat ini.
Menurut Silva, dirinya memulai menemukan lubang keamanan pada XML External Entity Expansion (XXE) pada tahun 2012 pada salah satu komponen di Drupal yang menangani otentifikasi OpenID. Sejak ramai digunakannya OpenID diberbagai layanan web, maka ia pun melakukan penelitian ke sejumlah situs dan mengetahui dampak yang didapat.
Sebenarnya Facebook sendiri saat itu belum terpengaruh dengan lubang keamanan ini. Namun, setelah diaplikasikannya fitur Forgot Your Password di Facebook, ia baru merndapati bahwa Facebook mengalami bug yang sama dengan drupal di file facebook.com/openid/receiver.php. Dan, dilaporkanlah temuannya itu ke Facebook.
“We knew we wanted to pay out a lot because of the severity of the issue, so we decided to average the payout recommendations across a group of our program administrators. As always, we design our payouts to reward the hard work of researchers who are already inclined to do the right thing and report bugs to the affected vendors,” kata Jubir Facebook.
Sekedar anda tahu, lubang keamanan XXE termasuk lubang keamanan yang serius karena si penyerang dapat melakukan ekploitasi pembacaan file yang ada di server.