Matka z Georgie a její dvě dcery se minulý víkend přihlásily na Facebook z mobilních telefonů a skončily na překvapivém místě: účty cizích lidí s plným přístupem k hromadám soukromých informací. Závada — výsledek problému se směrováním na fbezdrátový operátor amily, AT&T — odhalil málo známou bezpečnostní chybu s dalekosáhlými důsledky pro každého na internetu, nejen pro uživatele Facebooku.
V každém případě internet ztratil přehled o tom, kdo je kdo, a uvedl ženy do nesprávných účtů. Nezdá se, že by uživatelé mohli něco udělat, aby to zastavili. Problém přidává rozměr varováním výzkumníků, že existuje mnoho způsobů, jak se online informace – od světských dat po temná tajemství – mohou zvrtnout.
Doporučená videa
Několik bezpečnostních expertů uvedlo, že neslyšeli o takovém případu, kdy by se nesprávné osobě zobrazila webová stránka, jejíž uživatelské jméno a heslo zadal někdo jiný. Není jasné, zda jsou takové epizody vzácné nebo prostě nejsou hlášeny. Odborníci však uvedli, že takové chyby se mohou vyskytnout například u e-mailových služeb a že něco podobného by se mohlo stát i na počítači, nejen na telefonu.
Příbuzný
- Jak vytvořit více profilů pro váš účet na Facebooku
- Co je to Facebook Pixel? Nástroj pro sledování Meta, vysvětleno
- Nové ovládací prvky Facebooku nabízejí lepší přizpůsobení vašeho zdroje
„Skutečnost, že se to stalo, je důkazem toho, že se to potenciálně může stát znovu as něčím mnohem víc důležitější než Facebook,“ řekl Nathan Hamiel, zakladatel výzkumu Hexagon Security Group organizace.
Candace Sawyer, 26, říká, že okamžitě měla podezření, že něco není v pořádku, když se v sobotu ráno pokusila navštívit její stránku na Facebooku.
Po napsání Facebook.com do jejího chytrého telefonu Nokia, byla přijata na stránky, aniž by byla požádána o své uživatelské jméno nebo heslo. Byla na účtu, který nevypadal jako její. Měla méně žádostí o přátelství, než si pamatovala. Pak našla obrázek vlastníka stránky.
"On je bílý - já ne," řekla se smíchem.
Sawyer se odhlásila a zeptala se své sestry Mari (31), jejího partnera ve společnosti poskytující dezerty a jejich matky Fran (57), aby zjistili, zda mají stejný problém na svých telefonech. Mari přistála na stránce jiné ženy.
Franin telefon – který nikdy předtím nebyl použit k přístupu na Facebook – ji zavedl na další cizí stránku, jednu patřící mladé ženě z Indiany. Poslali e-mail na jeden ze svých vlastních účtů, aby to dokázali. Byli ohromeni.
"Myslela jsem si, že je to ten telefon - "Možná je tento telefon prostě divný a dělá kouzelné, hrozné věci a já se ho musím zbavit," řekla Candace Sawyer.
Ženy, které spolu žijí v East Point v Georgii, mimo Atlantu, nedávno upgradovaly na stejný model telefonu a všechny používaly stejného operátora, AT&T.
Sawyer kontaktoval The Associated Press poté, co problém nahlásil Facebooku a AT&T. Problém nebyl v telefonech. Byla to chyba v infrastruktuře spojující telefony s internetem. To objasňuje vážný problém.
Obecně jsou webové stránky a počítače kompromitovány zevnitř. Hacker může přimět webovou stránku nebo počítače ke spuštění programovacího kódu, který by neměl. Ale v tomto případě to byla bezpečnostní mezera mezi telefonem a webem, která odhalila cizí facebookové stránky Sawyerům. Špatně nakonfigurované zařízení, špatně napsaný síťový software nebo jiné technické chyby mohly způsobit, že AT&T prohledala informace proudící z telefonů Sawyerových na Facebook a zpět.
Naštěstí, Hamiel řekl, by tato zranitelnost byla pro hackera se zájmem o překonání rozsáhlého chaosu jen omezeně užitečná, protože tato díra by mu umožnila přístup pouze k jednomu účtu najednou. Aby napáchal větší škody, musel by se zločinec chopit nepravděpodobného činu, získat plnou kontrolu nad zařízením, které směruje internetový provoz k jednotlivým uživatelům.
Mluvčí společnosti AT&T Michael Coe uvedl, že její bezdrátoví zákazníci se dostali na špatné stránky na Facebooku v „omezeném počtu případů“ a že problém se sítí za těmito epizodami se řeší.
Sawyerovi zažili jinou závadu. Coe řekl, že vyšetřování ukazuje na „chybně nasměrovaný cookie“. Cookie je soubor, který některé webové stránky ukládají do počítačů k ukládání identifikačních informací – včetně uživatelského jména, které by členové Facebooku zadali, aby získali přístup ke svým stránky. Coe řekl, že technici nedokázali zjistit, jak byl soubor cookie nasměrován na nesprávný telefon a nasměrován na nesprávný účet na Facebooku.
Řekl také, že AT&T může potvrdit pouze to, že k problému došlo na jednom z telefonů Sawyerových, možná proto, že se před nahlášením incidentu odhlásili z Facebooku na dalších dvou. Facebook to odmítl komentovat a postoupil otázky společnosti AT&T.
Některé webové stránky by byly vůči tomuto druhu záměny imunní, zejména ty, které používají šifrování. Webový prohlížeč by měl problém rozluštit šifrování na stránce, kterou uživatel počítače ve skutečnosti nehledal, řekl Chris Wysopal, spoluzakladatel Veracode Inc., bezpečnostní společnosti.
Citlivé stránky a stránky používané pro bankovnictví a elektronický obchod obecně používají šifrování. Ale většina ostatních webů, včetně některých webových e-mailových služeb, to nepoužívá. Jeden způsob kontroly: Webové adresy šifrovaných stránek začínají „https“ spíše než „http“. Facebook používá šifrování, když jsou zadána uživatelská jména a hesla, aby se zamaskovalo přihlášení před slíděním, ale po zadání přihlašovacích údajů je šifrování upustil.
Není jasné, kolik lidí bylo postiženo problémem, který Sawyers objevil, a zda byl omezen na Facebook.
Důvod, proč všechny tři ženy zažily závadu, je funkcí způsobu, jakým jsou navrženy mobilní sítě. V některých případech je veškerý mobilní internetový provoz pro určitou oblast směrován přes stejné síťové zařízení. Pokud se toto zařízení chová špatně nebo je nesprávně nastaveno, dějí se podivné věci, když počítače na lince přijmou data.
Obvykle to znamená, že se web jednoduše nenačte, řekl Alberto Solino, ředitel bezpečnostních konzultačních služeb pro Core Security Technologies. V případě Sawyerových „nějak dostali špatného uživatele, ale mohli tento účet používat po dlouhou dobu. To je zvláštní,“ řekl.
AP se pokusila kontaktovat dva z lidí jehož facebookové stránky byly odhaleny Sawyerovým, ale hovory a e-maily se nevrátily. Není jasné, zda jsou také zákazníky AT&T, ačkoli bezpečnostní experti uvedli, že je to pravděpodobně tento případ.
Ostatně tomu tak bylo i v případě podobného incidentu v listopadu. Stephen Simburg, 25, který pracuje v marketingu, byl doma na Den díkůvzdání ve Vancouveru ve státě Washington, když se ze svého mobilního telefonu přihlásil na Facebook. Nepoznal lidi, kteří mu psali zprávy.
"Myslel jsem, že jsem se najednou stal opravdu populární, nebo je něco špatně," řekl. Pak uviděl obrázek majitele účtu: Mladá žena. Získal její e-mailovou adresu ze stránky, odhlásil se a napsal ženě zprávu. Zeptal se, zda se s ní někdy setkal, a ona si půjčila jeho telefon, aby zkontrolovala svůj účet na Facebooku.
"Ne," odepsala, "ale právě jsem řekla rodině, že jsem skončila ve tvém profilu!"
Simburg a žena zjistili, že oba používají AT&T k přístupu na Facebook na svých telefonech. (AT&T neměl žádný komentář, protože incident nebyl společnosti nahlášen.)
"Měl jsem pocit, že jsem byl zklamán telefonní společností a Facebookem," řekl. Říká, že nehodu nechal za sebou. Ale jedna část z toho zůstává: On a mladá žena jsou nyní přátelé na Facebooku.
Doporučení redakce
- Jak nastavit svůj Facebook Feed, aby zobrazoval nejnovější příspěvky
- Kotouče se brzy objeví v další funkci Facebooku
- Meta našla více než 400 mobilních aplikací „navržených ke krádeži“ přihlášení k Facebooku
- Kdy je nejlepší čas zveřejňovat příspěvky na Facebooku?
- Nyní můžete použít nálepku Add Yours na kotoučích pro Facebook a Instagram
