Facebook ayudó al FBI en una investigación por acoso sexual a menores contra uno de sus usuarios en Estados Unidos, y pagó a una compañía de ciberseguridad para que lo «hackeara» a través de una vulnerabilidad en otro software, Tails, una distribución de Linux diseñada para preservar el anonimato.
El ciudadano de California, Buster Hernandez, apodado «Brian Kil», acosó sexualmente a docenas de niñas de forma virtual, utilizando aplicaciones de mensajería, correo electrónico y Facebook, a quienes amenazaba con llevar a cabo tiroteos en sus escuelas si no le enviaban imágenes de desnudos.
Meses después de la condena y de la confesión de Hernandez, una investigación del medio especializado «Vice» ha informado de que Facebook ayudó al FBI en esta investigación y que pagó más de 100.000 dólares a una compañía de ciberseguridad para que lo «hackease» para ayudar a descubrir su identidad. Se trata de la primera vez que la compañía estadounidense toma este tipo de medida.
Hernandez utilizaba herramientas para proteger su anonimato, en concreto Tails, un sistema operativo basado en Linux que oculta la identidad del usuario encriptando todas las conexiones salientes a través del navegador anónimo Tor. Con la ayuda de la empresa externa, Facebook desarrolló un «exploit» basado en una vulnerabilidad «día cero» presente en el reproductor de vídeo de Tails. De esta forma, Facebook obtuvo la dirección IP de Hernandez, lo que permitió al FBI detenerlo.
Según Vice, Tails no tuvo conocimiento del «exploit» desarrollado por Facebook ni tampoco el FBI, que no llegó a obtener esta herramienta. «En este caso, no había ningún riesgo para otros usuarios más allá de esta persona, para quien había mucho más que una causa probable. Nunca habríamos hecho un cambio que hubiera afectado a más gente, como una puerta trasera», según ha asegurado un empleado de Facebook.