Facebook hired a security company to develop a 0-Day in Tails to identify a man who was extorting and threatening girls. Buster Hernandez, known online as “Brian Kil”, was a persistent threat and was so adept at hiding his identity that Facebook took the unexpected step of helping the FBI hack him to obtain evidence that would lead to his arrest and imprisonment.
Facebook worked with a cybersecurity company that helped them develop a hacking tool. This exploit took advantage of a security flaw in the Tails video player to reveal the real IP address of whoever was watching the video. Facebook, through an intermediary, le entrego esta información a los federales.
El FBI seguidamente obtuvo una orden de arresto y, con la ayuda de una de las víctimas, le mando un vídeo que explotaba el 0-Day. En febrero de este mismo año, se le declaró culpable de 41 cargos, incluyendo la producción de pornografía infantil, coacción de menores y amenazas de muerte, secuestro o daños físicos. Se esperando a que el juez determine sentencia, la cual será seguramente de unos cuantos años en prisión.
Facebook, de forma rutinaria investiga a criminales sospechosos en su plataforma, desde cibercriminales, acosadores, extorsionadores y gente que participa en la explotación sexual de niños. Varios equipos en Menlo Park y otras localizaciones se dedican a recoger los reportes de los usuarios y a perseguir proactivamente a estos criminales. Estos equipos están compuestos de gente que es experta en ciberseguridad, habiendo alguno de ellos trabajado para el gobierno en el FBI, de acuerdo con los LinkedIn de varios de ellos.
Tails dijo en un email que los desarrolladores del proyecto no tenían ni idea de la historia de Hernandez y que hasta ahora no sabían de la vulnerabilidad que se había usado para desanonimizarlo. También añadieron que este exploit nunca fue comunicado al equipo de desarrollo de Tails. El plan de Facebook era reportarlo, pero ya no había necesidad de ello porque Tails parcheó dicha vulnerabilidad.