Eine Mutter aus Georgia und ihre beiden Töchter meldeten sich letztes Wochenende über Mobiltelefone bei Facebook an und landeten an einem verblüffenden Ort: den Konten von Fremden mit vollem Zugriff auf jede Menge privater Informationen. Der Fehler – das Ergebnis eines Routing-Problems am fAmilys Mobilfunkanbieter, AT&T – enthüllte eine wenig bekannte Sicherheitslücke mit weitreichenden Auswirkungen für alle im Internet, nicht nur für Facebook-Nutzer.
In jedem Fall verlor das Internet den Überblick darüber, wer wer war, und ordnete die Frauen den falschen Konten zu. Es sieht nicht so aus, als hätten die Benutzer irgendetwas tun können, um es zu stoppen. Das Problem verleiht den Warnungen der Forscher, dass es viele Möglichkeiten gibt, wie Online-Informationen – von banalen Daten bis hin zu dunklen Geheimnissen – schiefgehen können, eine neue Dimension.
Empfohlene Videos
Mehrere Sicherheitsexperten sagten, sie hätten noch nie von einem solchen Fall gehört, bei dem der falschen Person eine Webseite angezeigt wurde, deren Benutzername und Passwort von einer anderen Person eingegeben worden waren. Es ist nicht klar, ob solche Episoden selten sind oder einfach nicht gemeldet werden. Experten sagten jedoch, dass solche Fehler beispielsweise bei E-Mail-Diensten auftreten könnten und dass etwas Ähnliches auch auf einem PC und nicht nur auf einem Telefon passieren könnte.
Verwandt
- So erstellen Sie mehrere Profile für Ihr Facebook-Konto
- Was ist ein Facebook-Pixel? Das Tracking-Tool von Meta, erklärt
- Die neuen Steuerelemente von Facebook bieten mehr Anpassungsmöglichkeiten für Ihren Feed
„Die Tatsache, dass es passiert ist, ist ein Beweis dafür, dass es möglicherweise noch einmal passieren könnte, und zwar mit viel mehr.“ wichtiger als Facebook“, sagte Nathan Hamiel, Gründer der Hexagon Security Group, einer Studie Organisation.
Candace Sawyer, 26, sagt, sie habe sofort geahnt, dass etwas nicht stimmte, als sie am Samstagmorgen versuchte, ihre Facebook-Seite zu besuchen.
Nach dem Tippen Facebook.com in ihr Nokia-Smartphone ein, wurde sie auf die Seite weitergeleitet, ohne nach ihrem Benutzernamen oder Passwort gefragt zu werden. Sie befand sich auf einem Konto, das nicht wie ihres aussah. Sie hatte weniger Freundschaftsanfragen, als sie in Erinnerung hatte. Dann fand sie ein Bild des Seiteninhabers.
„Er ist weiß – ich nicht“, sagte sie lachend.
Sawyer meldete sich ab und fragte ihre Schwester Mari (31), ihre Partnerin in einem Dessert-Catering-Unternehmen, und ihre Mutter Fran (57), ob sie auf ihren Telefonen das gleiche Problem hätten. Mari landete auf der Seite einer anderen Frau.
Frans Telefon – das noch nie zuvor für den Zugriff auf Facebook verwendet worden war – führte sie auf die Seite eines weiteren Fremden, die einer jungen Frau aus Indiana gehörte. Um dies zu beweisen, schickten sie eine E-Mail an einen ihrer eigenen Accounts. Sie waren sprachlos.
„Ich dachte, es wäre das Telefon – ‚Vielleicht ist dieses Telefon einfach komisch und macht magische, schreckliche Dinge und ich muss es loswerden‘“, sagte Candace Sawyer.
Die Frauen, die zusammen in East Point, Georgia, außerhalb von Atlanta leben, waren kürzlich auf dasselbe Telefonmodell umgestiegen und nutzten alle denselben Mobilfunkanbieter, AT&T.
Sawyer kontaktierte The Associated Press, nachdem er das Problem Facebook und AT&T gemeldet hatte. Das Problem lag nicht in den Telefonen. Es handelte sich um einen Fehler in der Infrastruktur, die die Telefone mit dem Internet verbindet. Das verdeutlicht ein ernstes Problem.
Im Allgemeinen werden Websites und Computer von innen heraus kompromittiert. Ein Hacker kann eine Webseite oder Computer dazu bringen, Programmcode auszuführen, den sie nicht ausführen sollten. Aber in diesem Fall war es eine Sicherheitslücke zwischen dem Telefon und der Website, die den Sawyers die Facebook-Seiten von Fremden zugänglich machte. Falsch konfigurierte Geräte, schlecht geschriebene Netzwerksoftware oder andere technische Fehler könnten dazu geführt haben, dass AT&T die Informationen, die von den Telefonen der Sawyers zu Facebook und zurück fließen, manipuliert hat.
Glücklicherweise, so Hamiel, sei die Sicherheitslücke für einen Hacker, der ein großes Chaos anrichten möchte, von begrenztem Nutzen, da er durch diese Lücke jeweils nur auf ein Konto zugreifen könne. Um noch mehr Schaden anzurichten, müsste der Kriminelle das unwahrscheinliche Kunststück vollbringen, die volle Kontrolle über das Gerät zu erlangen, das den Internetverkehr an einzelne Benutzer weiterleitet.
AT&T-Sprecher Michael Coe sagte, dass seine Mobilfunkkunden in „einer begrenzten Anzahl von Fällen“ auf den falschen Facebook-Seiten gelandet seien und dass ein Netzwerkproblem hinter diesen Episoden behoben werde.
Die Sawyers erlebten einen anderen Fehler. Coe sagte, eine Untersuchung weise auf einen „fehlgeleiteten Cookie“ hin. Ein Cookie ist eine Datei, die einige Websites auf Computern ablegen um identifizierende Informationen zu speichern – einschließlich des Benutzernamens, den Facebook-Mitglieder eingeben würden, um auf sie zuzugreifen Seiten. Coe sagte, die Techniker hätten nicht herausfinden können, wie das Cookie an das falsche Telefon weitergeleitet und in das falsche Facebook-Konto geleitet wurde.
Er sagte auch, AT&T könne nur bestätigen, dass das Problem auf einem der Telefone der Sawyers aufgetreten sei, möglicherweise weil sie sich auf den anderen beiden von Facebook abgemeldet hätten, bevor sie den Vorfall gemeldet hätten. Facebook lehnte eine Stellungnahme ab und verwies Fragen an AT&T.
Einige Websites wären vor einer solchen Verwechslung gefeit, insbesondere solche, die Verschlüsselung verwenden. Ein Webbrowser hätte Schwierigkeiten, die Verschlüsselung auf einer Seite zu entschlüsseln, die ein Computerbenutzer nicht tatsächlich aufgerufen hat, sagte Chris Wysopal, Mitbegründer von Veracode Inc., einem Sicherheitsunternehmen.
Sensible Websites sowie solche, die für Bankgeschäfte und E-Commerce genutzt werden, verwenden im Allgemeinen Verschlüsselung. Die meisten anderen Websites, einschließlich einiger webbasierter E-Mail-Dienste, verwenden es jedoch nicht. Eine Möglichkeit zur Überprüfung: Die Webadressen verschlüsselter Websites beginnen mit „https“ und nicht mit „http“. Facebook verwendet Verschlüsselung, wenn Benutzernamen und Passwörter werden eingegeben, um die Anmeldung vor Schnüfflern zu verbergen, aber nach Eingabe der Anmeldeinformationen erfolgt die Verschlüsselung fallen gelassen.
Es ist unklar, wie viele Menschen von dem von den Sawyers entdeckten Problem betroffen waren und ob es auf Facebook beschränkt war.
Der Grund, warum bei allen drei Frauen der Fehler aufgetreten ist, hängt mit der Art und Weise zusammen, wie Mobilfunknetze aufgebaut sind. In manchen Fällen wird der gesamte mobile Internetverkehr für ein bestimmtes Gebiet über dasselbe Netzwerkgerät geleitet. Wenn sich dieses Gerät schlecht verhält oder falsch eingerichtet ist, passieren seltsame Dinge, wenn Computer in der Leitung die Daten empfangen.
Normalerweise bedeutet das, dass eine Website einfach nicht geladen wird, sagte Alberto Solino, Leiter der Sicherheitsberatungsdienste bei Core Security Technologies. Im Fall der Sawyers „hatten sie irgendwie den falschen Benutzer, konnten dieses Konto aber über einen längeren Zeitraum weiter verwenden.“ Das ist das Seltsame“, sagte er.
Die AP versuchte, Kontakt zu zwei der Personen aufzunehmen deren Facebook-Seiten aufgedeckt wurden an die Sawyers, aber die Anrufe und E-Mails wurden nicht beantwortet. Es ist unklar, ob sie auch AT&T-Kunden sind, obwohl Sicherheitsexperten sagen, dass dies wahrscheinlich der Fall ist.
Tatsächlich war dies bei einem ähnlichen Vorfall im November der Fall. Stephen Simburg, 25, der im Marketing arbeitet, war zu Thanksgiving zu Hause in Vancouver, Washington, als er sich von seinem Handy aus bei Facebook anmeldete. Er erkannte die Leute nicht, die ihm Nachrichten geschrieben hatten.
„Ich dachte, ich wäre plötzlich sehr beliebt geworden, oder irgendetwas stimmte nicht“, sagte er. Dann sah er das Bild der Kontoinhaberin: Eine junge Frau. Er holte sich ihre E-Mail-Adresse von der Seite, loggte sich ab und schrieb der Frau eine Nachricht. Er fragte, ob er sie irgendwann einmal getroffen habe und sie sich sein Handy ausgeliehen habe, um ihren Facebook-Account zu überprüfen.
„Nein“, schrieb sie zurück, „aber ich habe meiner Familie nur erzählt, dass ich in Ihrem Profil gelandet bin!“
Simburg und die Frau fanden heraus, dass sie beide AT&T nutzten, um über ihre Telefone auf Facebook zuzugreifen. (AT&T gab keinen Kommentar ab, da der Vorfall dem Unternehmen nicht gemeldet wurde.)
„Ich hatte das Gefühl, von der Telefongesellschaft und von Facebook im Stich gelassen worden zu sein“, sagte er. Er sagt, er habe den Vorfall hinter sich gelassen. Aber ein Teil davon bleibt: Er und die junge Frau sind jetzt Facebook-Freunde.
Empfehlungen der Redaktion
- So stellen Sie Ihren Facebook-Feed so ein, dass die neuesten Beiträge angezeigt werden
- Reels werden bald in einer weiteren Facebook-Funktion auftauchen
- Meta hat über 400 mobile Apps gefunden, die darauf ausgelegt sind, Facebook-Logins zu stehlen
- Wann ist die beste Zeit, um auf Facebook zu posten?
- Sie können jetzt den Add Yours-Sticker auf Reels für Facebook und Instagram verwenden
