Majka iz Georgije i njezine dvije kćeri prijavile su se na Facebook s mobilnih telefona prošlog vikenda i završile na zapanjujućem mjestu: računima stranaca s potpunim pristupom gomili privatnih informacija. Greška — rezultat problema s usmjeravanjem na familyn bežični operater, AT&T — otkrio malo poznati sigurnosni propust s dalekosežnim implikacijama za sve na internetu, ne samo za korisnike Facebooka.
U svakom slučaju, internet je izgubio pojam tko je tko, stavljajući žene na pogrešne račune. Čini se da korisnici nisu mogli učiniti ništa da to zaustave. Problem dodaje dimenziju upozorenjima istraživača da postoje mnogi načini na koje online informacije - od svakodnevnih podataka do mračnih tajni - mogu poći po zlu.
Preporučeni videozapisi
Nekoliko sigurnosnih stručnjaka reklo je da nisu čuli za ovakav slučaj, u kojem je pogrešnoj osobi prikazana web stranica čije je korisničko ime i lozinku unio netko drugi. Nije jasno jesu li takve epizode rijetke ili se jednostavno ne bilježe. No stručnjaci kažu da bi se takvi nedostaci mogli pojaviti na uslugama e-pošte, na primjer, te da bi se nešto slično moglo dogoditi i na osobnom računalu, a ne samo na telefonu.
Povezano
- Kako stvoriti više profila za svoj Facebook račun
- Što je Facebook Pixel? Objašnjenje Metinog alata za praćenje
- Facebookove nove kontrole nude veću prilagodbu vašeg Feeda
“Činjenica da se to dogodilo dokaz je da bi se potencijalno moglo ponoviti i s nečim puno više važniji od Facebooka”, rekao je Nathan Hamiel, osnivač Hexagon Security Group, istraživanje organizacija.
Candace Sawyer (26) kaže da je odmah posumnjala da nešto nije u redu kada je u subotu ujutro pokušala posjetiti svoju Facebook stranicu.
Nakon tipkanja Facebook.com u svoj Nokia pametni telefon, dovedena je na stranicu bez traženja korisničkog imena ili lozinke. Bila je na računu koji nije izgledao kao njezin. Imala je manje zahtjeva za prijateljstvo nego što se sjećala. Zatim je pronašla sliku vlasnika stranice.
"On je bijelac - ja nisam", rekla je uz smijeh.
Sawyer se odjavila i zamolila svoju sestru Mari (31), njezinu partnericu u tvrtki koja posluje s desertima, i njihovu majku Fran (57) da provjeri imaju li isti problem na svojim telefonima. Mari je pala na stranicu druge žene.
Franin telefon - koji nikada prije nije korišten za pristup Facebooku - odveo ju je na stranicu još jednog stranca, onu koja je pripadala mladoj ženi iz Indiane. Poslali su e-mail na jedan od svojih računa kako bi to dokazali. Zanijemili su.
"Mislila sam da je to telefon - `Možda je ovaj telefon samo čudan i radi magične, užasne stvari i moram ga se riješiti'", rekla je Candace Sawyer.
Žene, koje žive zajedno u East Pointu, Ga., izvan Atlante, nedavno su nadogradile na isti model telefona i sve su koristile istog operatera, AT&T.
Sawyer je kontaktirao Associated Press nakon što je o problemu prijavio Facebook i AT&T. Problem nije bio u telefonima. Bio je to nedostatak u infrastrukturi povezivanja telefona s internetom. To osvjetljava ozbiljan problem.
Općenito, web stranice i računala ugroženi su iznutra. Haker može natjerati web stranicu ili računala da pokrenu programski kod koji ne bi smjeli. Ali u ovom slučaju, sigurnosni jaz između telefona i web stranice izložio je Facebook stranice stranaca Sawyerovima. Pogrešno konfigurirana oprema, loše napisan mrežni softver ili druge tehničke pogreške mogle su uzrokovati da AT&T poremeti informacije koje teku s telefona Sawyerovih na Facebook i natrag.
Srećom, rekao je Hamiel, ranjivost bi bila od ograničene koristi hakeru koji je zainteresiran za pokretanje raširenog haosa, jer bi mu ova rupa omogućila pristup samo jednom računu u isto vrijeme. Kako bi napravio veću štetu, kriminalac bi morao izvesti malo vjerojatan pothvat stjecanja potpune kontrole nad dijelom opreme koji usmjerava internetski promet do pojedinačnih korisnika.
Glasnogovornik AT&T-a Michael Coe rekao je da su njegovi bežični korisnici sletjeli na pogrešne Facebook stranice u "ograničenom broju slučajeva" i da se mrežni problem iza tih epizoda rješava.
Sawyerovi su doživjeli drugačiji kvar. Coe je rekao da istraga ukazuje na "pogrešno usmjeren kolačić". Kolačić je datoteka koju neke web stranice postavljaju na računala za pohranu identifikacijskih informacija — uključujući korisničko ime koje bi članovi Facebooka unijeli za pristup svojim stranice. Coe je rekao da tehničari nisu mogli otkriti kako je kolačić preusmjeren na pogrešan telefon, što ga je odvelo na pogrešan Facebook račun.
Također je rekao da AT&T može potvrditi samo da se problem dogodio na jednom od telefona Sawyerovih, vjerojatno zato što su se odjavili s Facebooka na druga dva prije nego su prijavili incident. Facebook je odbio komentirati i uputio pitanja AT&T-u.
Neke web stranice bile bi imune na ovu vrstu zabune, osobito one koje koriste enkripciju. Web preglednik bi imao problema s dešifriranjem enkripcije na stranici koju korisnik računala zapravo nije tražio, rekao je Chris Wysopal, suosnivač Veracode Inc., sigurnosne tvrtke.
Osjetljive stranice i one koje se koriste za bankarstvo i e-trgovinu općenito koriste enkripciju. Ali većina drugih web-mjesta, uključujući neke usluge e-pošte temeljene na webu, ne koriste ga. Jedan od načina provjere: web-adrese šifriranih stranica počinju s "https", a ne s "http". Facebook koristi enkripciju kada unose se korisnička imena i lozinke kako bi se prikrila prijava od njuškanja, ali nakon što se unesu vjerodajnice, enkripcija je ispušteno.
Nije jasno koliko je ljudi bilo pogođeno problemom koji je Sawyers otkrio i je li ograničen na Facebook.
Razlog zašto su sve tri žene doživjele kvar je funkcija načina na koji su mobilne mreže dizajnirane. U nekim slučajevima, sav mobilni internetski promet za određeno područje usmjerava se kroz isti dio mrežne opreme. Ako se taj dio opreme loše ponaša ili je neispravno postavljen, događaju se čudne stvari kada računala u nizu primaju podatke.
Obično to znači da se web stranica jednostavno neće učitati, rekao je Alberto Solino, direktor sigurnosnih savjetodavnih usluga za Core Security Technologies. U slučaju Sawyerovih, “nekako su dobili pogrešnog korisnika, ali su mogli nastaviti koristiti taj račun dulje vrijeme. To je ono što je čudno - rekao je.
AP je pokušao kontaktirati dvije osobe čije su Facebook stranice razotkrivene Sawyerovima, ali na pozive i e-mailove nisu uzvraćali. Nije jasno jesu li oni također korisnici AT&T-a, iako stručnjaci za sigurnost kažu da je to vjerojatno slučaj.
Doista, bio je to slučaj u sličnom incidentu u studenom. Stephen Simburg, 25, koji radi u marketingu, bio je kod kuće za Dan zahvalnosti u Vancouveru, Washington, kada se prijavio na Facebook sa svog mobilnog telefona. Nije prepoznao ljude koji su mu pisali poruke.
“Mislio sam da sam odjednom postao jako popularan ili nešto nije u redu”, rekao je. Zatim je vidio sliku vlasnika računa: Mlada žena. Dobio je njezinu e-mail adresu sa stranice, odjavio se i ženi napisao poruku. Pitao ju je je li je sreo u nekom trenutku, a ona mu je posudila telefon da provjeri svoj Facebook račun.
“Ne,” odgovorila je, “ali samo sam rekla svojoj obitelji da sam završila na tvom profilu!”
Simburg i žena su shvatili da oboje koriste AT&T za pristup Facebooku na svojim telefonima. (AT&T nije imao komentara jer incident nije prijavljen tvrtki.)
“Osjećao sam se kao da su me telefonska kompanija i Facebook iznevjerili”, rekao je. Kaže da je incident ostavio iza sebe. Ali jedan dio toga ostaje: on i mlada žena sada su prijatelji na Facebooku.
Preporuke urednika
- Kako postaviti svoj Facebook Feed da prikazuje najnovije objave
- Reels će se uskoro pojaviti u još jednoj značajci Facebooka
- Meta je pronašla više od 400 mobilnih aplikacija 'dizajniranih za krađu' prijava na Facebook
- Kada je najbolje vrijeme za objavljivanje na Facebooku?
- Sada možete koristiti naljepnicu Add Yours na Reels za Facebook i Instagram
