En mor fra Georgien og hendes to døtre loggede på Facebook fra mobiltelefoner i sidste weekend og endte et overraskende sted: fremmedes konti med fuld adgang til masser af private oplysninger. Fejlen — resultatet af et routingproblem ved familys trådløse udbyder, AT&T — afslørede en lidt kendt sikkerhedsfejl med vidtrækkende konsekvenser for alle på internettet, ikke kun Facebook-brugere.
I hvert tilfælde mistede internettet overblikket over, hvem der var hvem, og satte kvinderne ind på de forkerte konti. Det ser ikke ud til, at brugerne kunne have gjort noget for at stoppe det. Problemet tilføjer en dimension til forskernes advarsler om, at der er mange måder, hvorpå online-information - fra verdslige data til mørke hemmeligheder - kan gå skævt.
Anbefalede videoer
Flere sikkerhedseksperter sagde, at de ikke havde hørt om en sag som denne, hvor den forkerte person fik vist en webside, hvis brugernavn og adgangskode var blevet indtastet af en anden. Det er ikke klart, om sådanne episoder er sjældne eller simpelthen ikke rapporteret. Men eksperter sagde, at sådanne fejl kunne forekomme på e-mail-tjenester, for eksempel, og at noget lignende kunne ske på en pc, ikke kun en telefon.
Relaterede
- Sådan opretter du flere profiler til din Facebook-konto
- Hvad er en Facebook Pixel? Metas sporingsværktøj, forklaret
- Facebooks nye kontroller tilbyder mere tilpasning af dit feed
"Det faktum, at det skete, er et bevis på, at det potentielt kan ske igen og med noget meget mere vigtigere end Facebook,” sagde Nathan Hamiel, grundlægger af Hexagon Security Group, en research organisation.
Candace Sawyer, 26, siger, at hun straks havde mistanke om, at der var noget galt, da hun forsøgte at besøge sin Facebook-side lørdag morgen.
Efter at have skrevet Facebook.com ind i hendes Nokia-smartphone, blev hun taget ind på siden uden at blive bedt om sit brugernavn eller password. Hun var på en konto, der ikke lignede hendes. Hun havde færre venneanmodninger, end hun huskede. Så fandt hun et billede af sidens ejer.
"Han er hvid - det er jeg ikke," sagde hun med et grin.
Sawyer loggede af og bad sin søster, Mari, 31, hendes partner i et dessertcateringfirma, og deres mor, Fran, 57, om at se, om de havde det samme problem på deres telefoner. Mari landede inde på en anden kvindes side.
Frans telefon - som aldrig havde været brugt til at få adgang til Facebook før - tog hende med ind på endnu en fremmeds side, en tilhørende en ung kvinde fra Indiana. De sendte en e-mail til en af deres egne konti for at bevise det. De var forbløffede.
"Jeg troede, det var telefonen - "Måske er denne telefon bare mærkelig og gør magiske, forfærdelige ting, og jeg er nødt til at slippe af med den," sagde Candace Sawyer.
Kvinderne, der bor sammen i East Point, Ga., uden for Atlanta, havde for nylig opgraderet til den samme telefonmodel og brugte alle den samme operatør, AT&T.
Sawyer kontaktede Associated Press efter at have rapporteret problemet til Facebook og AT&T. Problemet var ikke i telefonerne. Det var en fejl i infrastrukturen, der forbinder telefonerne med internettet. Det belyser et alvorligt problem.
Generelt er websteder og computere kompromitteret indefra. En hacker kan få en webside eller computere til at køre programmeringskode, som de ikke burde. Men i dette tilfælde var det et sikkerhedsgab mellem telefonen og webstedet, der afslørede fremmedes Facebook-sider for Sawyers. Fejlkonfigureret udstyr, dårligt skrevet netværkssoftware eller andre tekniske fejl kunne have fået AT&T til at fumle informationen, der strømmer fra Sawyers' telefoner til Facebook og tilbage.
Heldigvis, sagde Hamiel, ville sårbarheden være til begrænset nytte for en hacker, der er interesseret i at udløse omfattende kaos, fordi dette hul ville give ham adgang til kun én konto ad gangen. For at gøre mere skade vil den kriminelle skulle udføre den usandsynlige bedrift at få fuld kontrol over det udstyr, der dirigerer internettrafik til individuelle brugere.
AT&T talsmand Michael Coe sagde, at deres trådløse kunder er landet på de forkerte Facebook-sider i "et begrænset antal tilfælde", og at et netværksproblem bag disse episoder er ved at blive rettet.
Sawyers oplevede en anden fejl. Coe sagde, at en undersøgelse peger på en "forkert cookie." En cookie er en fil, som nogle websteder placerer på computere at gemme identificerende oplysninger - herunder det brugernavn, som Facebook-medlemmer ville indtaste for at få adgang til deres sider. Coe sagde, at teknikere ikke kunne finde ud af, hvordan cookien var blevet dirigeret til den forkerte telefon, hvilket førte den ind på den forkerte Facebook-konto.
Han sagde også, at AT&T kun kunne bekræfte, at problemet opstod på en af Sawyers' telefoner, muligvis fordi de havde logget af Facebook på de to andre, før de rapporterede hændelsen. Facebook afviste at kommentere og henviste spørgsmål til AT&T.
Nogle websteder ville være immune over for denne form for sammenblanding, især dem, der bruger kryptering. En webbrowser ville have problemer med at tyde krypteringen på en side, som en computerbruger faktisk ikke søgte, sagde Chris Wysopal, medstifter af Veracode Inc., et sikkerhedsfirma.
Følsomme websteder og dem, der bruges til bank- og e-handel, bruger generelt kryptering. Men de fleste andre websteder, inklusive nogle webbaserede e-mail-tjenester, bruger det ikke. En måde at kontrollere: Webadresserne på krypterede websteder begynder med "https" i stedet for "http." Facebook bruger kryptering når brugernavne og adgangskoder indtastes for at skjule log-on fra snoops, men efter at legitimationsoplysningerne er indtastet, er krypteringen faldet.
Det er uklart, hvor mange mennesker der var berørt af problemet, som Sawyers opdagede, og om det var begrænset til Facebook.
Grunden til, at alle tre kvinder oplevede fejlen, er en funktion af den måde, mobilnetværk er designet på. I nogle tilfælde dirigeres al mobilinternettrafik for et bestemt område gennem det samme netværksudstyr. Hvis det stykke udstyr opfører sig forkert eller er indstillet forkert, sker der mærkelige ting, når computere længere nede modtager dataene.
Normalt betyder det, at et websted simpelthen ikke indlæses, sagde Alberto Solino, direktør for sikkerhedskonsulenttjenester for Core Security Technologies. I Sawyers' tilfælde, "på en eller anden måde fik de den forkerte bruger, men de kunne blive ved med at bruge den konto i lang tid. Det er det, der er mærkeligt," sagde han.
AP forsøgte at kontakte to af personerne hvis Facebook-sider blev afsløret til Sawyers, men opkaldene og e-mails blev ikke returneret. Det er uklart, om de også er AT&T-kunder, selvom sikkerhedseksperter sagde, at det sandsynligvis er tilfældet.
Det var faktisk tilfældet i en lignende hændelse i november. Stephen Simburg, 25, der arbejder med marketing, var hjemme til Thanksgiving i Vancouver, Washington, da han loggede på Facebook fra sin mobiltelefon. Han genkendte ikke de mennesker, der havde skrevet ham beskeder.
"Jeg troede, at jeg pludselig var blevet rigtig populær, eller også var der noget galt," sagde han. Så så han billedet af kontoejeren: En ung kvinde. Han fik hendes e-mailadresse fra siden, loggede af og skrev en besked til kvinden. Han spurgte, om han havde mødt hende på et tidspunkt, og hun havde lånt hans telefon for at tjekke sin Facebook-konto.
"Nej," skrev hun tilbage, "men jeg fortalte bare min familie, at jeg endte på din profil!"
Simburg og kvinden fandt ud af, at de begge brugte AT&T til at få adgang til Facebook på deres telefoner. (AT&T havde ingen kommentarer, fordi hændelsen ikke blev rapporteret til virksomheden.)
"Jeg følte, at jeg var blevet svigtet af telefonselskabet og Facebook," sagde han. Han siger, at han har lagt hændelsen bag sig. Men ét stykke er tilbage: Han og den unge kvinde er nu Facebook-venner.
Redaktørens anbefalinger
- Sådan indstiller du dit Facebook-feed til at vise de seneste indlæg
- Reels er ved at dukke op i endnu en Facebook-funktion
- Meta fandt over 400 mobilapps 'designet til at stjæle' Facebook-login
- Hvornår er det bedste tidspunkt at skrive på Facebook?
- Du kan nu bruge Add Yours-mærkatet på Reels til Facebook og Instagram
