Gruusiast pärit ema ja tema kaks tütart logisid eelmisel nädalavahetusel mobiiltelefonide kaudu Facebooki sisse ja sattusid jahmatavasse kohta: võõraste kontodele, millel on täielik juurdepääs privaatsele teabele. Tõrge — f-i marsruutimisprobleemi tulemusamily traadita side operaator AT&T - paljastas vähetuntud turvavea, millel on kaugeleulatuvad tagajärjed kõigile Interneti-kasutajatele, mitte ainult Facebooki kasutajatele.
Kõigil juhtudel kaotas Internet aru, kes on kes, ja pani naised valedesse kontodesse. Näib, et kasutajad ei saanud selle peatamiseks midagi teha. Probleem lisab mõõtme teadlaste hoiatustele, et veebiteave võib paljudel viisidel – alates igapäevastest andmetest kuni tumedate saladusteni – viltu minna.
Soovitatavad videod
Mitmed turvaeksperdid ütlesid, et nad pole kuulnud sellisest juhtumist, kus valele inimesele näidati veebilehte, mille kasutajanime ja parooli oli sisestanud keegi teine. Pole selge, kas sellised episoodid on haruldased või neist lihtsalt ei teata. Kuid eksperdid ütlesid, et sellised vead võivad ilmneda näiteks e-posti teenustes ja midagi sarnast võib juhtuda ka arvutis, mitte ainult telefonis.
Seotud
- Kuidas luua oma Facebooki konto jaoks mitu profiili
- Mis on Facebooki piksel? Meta jälgimistööriist, selgitatud
- Facebooki uued juhtnupud pakuvad teie voogu rohkem kohandamist
"Fakt, et see juhtus, on tõestus sellest, et see võib potentsiaalselt korduda ja millegi palju enamaga tähtsam kui Facebook, ”ütles Nathan Hamiel, Hexagon Security Groupi asutaja organisatsioon.
26-aastane Candace Sawyer ütleb, et kahtlustas kohe, et midagi on valesti, kui ta üritas laupäeva hommikul oma Facebooki lehte külastada.
Pärast tippimist Facebook.com oma Nokia nutitelefoni, viidi ta saidile ilma kasutajanime või parooli küsimata. Ta oli kontol, mis ei sarnanenud tema omaga. Tal oli vähem sõbrakutseid, kui ta mäletas. Siis leidis ta pildi lehe omanikust.
"Ta on valge, mina mitte," ütles ta naerdes.
Sawyer logis välja ja palus oma õel, 31-aastasel Maril, tema elukaaslasel magustoitu toitlustusettevõttes, ja nende emal Franil (57) uurida, kas neil on telefonides sama probleem. Mari sattus teise naise lehele.
Frani telefon, mida polnud kunagi varem Facebooki sisenemiseks kasutatud, viis ta järjekordsele võõrale lehele, mis kuulus Indianast pärit noorele naisele. Nad saatsid selle tõestamiseks ühele enda kontole e-kirja. Nad olid hämmeldunud.
"Ma arvasin, et see on telefon – võib-olla on see telefon lihtsalt imelik ja teeb maagilisi, kohutavaid asju ja ma pean sellest lahti saama," ütles Candace Sawyer.
Naised, kes elavad koos East Pointis Ga.-s väljaspool Atlantat, olid hiljuti üle läinud samale telefonimudelile ja kasutasid kõik sama operaatorit AT&T.
Sawyer võttis Associated Pressiga ühendust pärast seda, kui oli probleemist Facebookile ja AT&T-le teatanud. Probleem ei olnud telefonides. See oli telefonide internetti ühendava infrastruktuuri viga. See valgustab tõsist probleemi.
Üldiselt on veebisaidid ja arvutid ohustatud seestpoolt. Häkker võib panna veebilehe või arvutid programmeerimiskoodi käivitama, mida nad ei peaks. Kuid antud juhul oli see turvalünk telefoni ja veebisaidi vahel, mis paljastas Sawyeritele võõraste Facebooki-lehed. Valesti konfigureeritud seadmed, halvasti kirjutatud võrgutarkvara või muud tehnilised vead võisid põhjustada AT&T-le Sawyerite telefonidest Facebooki ja tagasi voolava teabe segamise.
Õnneks oleks Hamieli sõnul haavatavusest piiratud kasu häkkerile, kes on huvitatud laialt levinud kaost, sest see auk võimaldaks tal korraga juurde pääseda ainult ühele kontole. Suurema kahju tekitamiseks peaks kurjategija saavutama ebatõenäolise saavutuse, saavutades täieliku kontrolli seadmete üle, mis suunab Interneti-liikluse üksikutele kasutajatele.
AT&T pressiesindaja Michael Coe ütles, et selle traadita ühenduse kliendid on "piiratud arvul juhtudel" sattunud valedele Facebooki lehtedele ja nende episoodide taga olev võrguprobleem on parandamisel.
Sawyerid kogesid teistsugust tõrget. Coe sõnul viitab uurimine "valesti suunatud küpsisele". Küpsis on fail, mida mõned veebisaidid arvutitesse paigutavad identifitseerivate andmete salvestamiseks, sealhulgas kasutajanime, mille Facebooki liikmed omale juurdepääsuks sisestavad lehekülgi. Coe sõnul ei suutnud tehnikud aru saada, kuidas küpsis suunati valesse telefoni, mis viis selle valele Facebooki kontole.
Ta ütles ka, et AT&T saab kinnitada ainult seda, et probleem ilmnes ühes Sawyerite telefonis, tõenäoliselt seetõttu, et nad olid enne juhtumist teatamist kahes teises Facebookist välja loginud. Facebook keeldus kommenteerimast ja edastas küsimused AT&T-le.
Mõned veebisaidid on sellise segamise eest immuunsed, eriti need, mis kasutavad krüptimist. Veebibrauseril oleks probleeme lehe krüptimise dešifreerimisega, mida arvutikasutaja tegelikult ei otsinud, ütles turvafirma Veracode Inc. kaasasutaja Chris Wysopal.
Tundlikud saidid ning panganduses ja e-kaubanduses kasutatavad saidid kasutavad üldiselt krüptimist. Kuid enamik teisi saite, sealhulgas mõned veebipõhised meiliteenused, seda ei kasuta. Üks kontrollimisviis: krüptitud saitide veebiaadressid algavad „http” asemel tähega „https”. Facebook kasutab krüptimist, kui sisselogimise varjamiseks sisestatakse kasutajanimed ja paroolid, kuid pärast mandaatide sisestamist krüpteeritakse langenud.
On ebaselge, kui palju inimesi Sawyerite leitud probleem puudutas ja kas see piirdus Facebookiga.
Põhjus, miks kõik kolm naist seda tõrke kogesid, on mobiilsidevõrkude kujundamise funktsioon. Mõnel juhul suunatakse kogu teatud piirkonna mobiilne Interneti-liiklus sama võrguseadme kaudu. Kui see seade töötab valesti või on valesti seadistatud, juhtub kummalisi asju, kui arvutid võtavad andmeid vastu.
Tavaliselt tähendab see, et veebisait lihtsalt ei laadita, ütles Alberto Solino, Core Security Technologies turbenõustamisteenuste direktor. Sawyerite puhul „saadud nad millegipärast vale kasutaja, kuid nad võisid seda kontot kasutada pikka aega. See on imelik," ütles ta.
AP püüdis kahe inimesega ühendust saada kelle Facebooki lehed avalikustati Sawyeritele, kuid kõnesid ja e-kirju ei tagastatud. Pole selge, kas nad on ka AT&T kliendid, kuigi turvaeksperdid ütlesid, et see on tõenäoliselt nii.
Tõepoolest, see juhtus sarnase juhtumiga novembris. 25-aastane Stephen Simburg, kes töötab turunduse alal, oli tänupühal Washi osariigis Vancouveris, kui logis oma mobiiltelefonist Facebooki sisse. Ta ei tundnud ära inimesi, kes olid talle sõnumeid kirjutanud.
"Arvasin, et olen järsku väga populaarseks saanud või midagi on valesti," ütles ta. Siis nägi ta kontoomaniku pilti: Noor naine. Ta sai saidilt naise meiliaadressi, logis välja ja kirjutas naisele sõnumi. Ta küsis, kas ta on temaga mingil hetkel kohtunud ja ta oli tema telefoni laenanud, et oma Facebooki kontot kontrollida.
"Ei," kirjutas ta vastu, "aga ma lihtsalt rääkisin oma perele, et sattusin teie profiilile!"
Simburg ja naine taipasid, et mõlemad kasutasid AT&T-d, et oma telefonides Facebooki juurde pääseda. (AT&T-l ei olnud kommentaare, kuna juhtumist ettevõttele ei teatatud.)
"Tundsin, nagu oleksin telefonifirma ja Facebooki poolt alt vedanud," sõnas ta. Ta ütleb, et jättis juhtumi selja taha. Kuid üks osa sellest jääb alles: tema ja noor naine on nüüd Facebooki sõbrad.
Toimetajate soovitused
- Kuidas seadistada oma Facebooki voogu näitama uusimaid postitusi
- Rullid ilmuvad peagi veel ühes Facebooki funktsioonis
- Meta leidis üle 400 mobiilirakenduse, mis on mõeldud Facebooki sisselogimiste varastamiseks
- Millal on parim aeg Facebooki postitamiseks?
- Nüüd saate Facebooki ja Instagrami jaoks Reelsil kasutada kleebist Add Yours
