Een moeder uit Georgia en haar twee dochters logden afgelopen weekend vanaf hun mobiele telefoon in op Facebook en kwamen op een verrassende plek terecht: accounts van vreemden met volledige toegang tot een schat aan privé-informatie. De glitch — het resultaat van een routeringsprobleem bij de fAmily's draadloze provider, AT&T – onthulde een weinig bekende beveiligingsfout met verstrekkende gevolgen voor iedereen op internet, niet alleen voor Facebook-gebruikers.
In beide gevallen verloor het internet uit het oog wie wie was, waardoor de vrouwen op de verkeerde accounts terechtkwamen. Het lijkt er niet op dat de gebruikers iets hadden kunnen doen om het te stoppen. Het probleem voegt een dimensie toe aan de waarschuwingen van onderzoekers dat er veel manieren zijn waarop online informatie – van alledaagse gegevens tot duistere geheimen – mis kan gaan.
Aanbevolen video's
Verschillende beveiligingsexperts zeiden dat ze nog nooit hadden gehoord van een geval als dit, waarbij de verkeerde persoon een webpagina te zien kreeg waarvan de gebruikersnaam en het wachtwoord door iemand anders waren ingevoerd. Het is niet duidelijk of dergelijke episoden zeldzaam zijn of eenvoudigweg niet worden gerapporteerd. Maar experts zeiden dat dergelijke fouten bijvoorbeeld kunnen optreden bij e-maildiensten, en dat iets soortgelijks kan gebeuren op een pc, en niet alleen op een telefoon.
Verwant
- Hoe u meerdere profielen voor uw Facebook-account kunt maken
- Wat is een Facebook-pixel? Meta's trackingtool, uitgelegd
- De nieuwe bedieningselementen van Facebook bieden meer aanpassing van uw feed
“Het feit dat het is gebeurd, is het bewijs dat het mogelijk opnieuw kan gebeuren, en met nog veel meer belangrijker dan Facebook”, zegt Nathan Hamiel, oprichter van de Hexagon Security Group, een onderzoek organisatie.
Candace Sawyer, 26, zegt dat ze onmiddellijk vermoedde dat er iets mis was toen ze zaterdagochtend haar Facebook-pagina probeerde te bezoeken.
Na het typen Facebook.com in haar Nokia-smartphone, werd ze naar de site geleid zonder dat om haar gebruikersnaam of wachtwoord werd gevraagd. Ze stond op een rekening die niet op de hare leek. Ze had minder vriendschapsverzoeken dan ze zich herinnerde. Toen vond ze een foto van de eigenaar van de pagina.
‘Hij is blank – ik niet’, zei ze lachend.
Sawyer logde uit en vroeg haar zus, Mari, 31, haar partner in een dessertcateringbedrijf, en hun moeder, Fran, 57, om te zien of ze hetzelfde probleem hadden op hun telefoons. Mari belandde op de pagina van een andere vrouw.
Fran's telefoon – die nog nooit eerder was gebruikt om toegang te krijgen tot Facebook – bracht haar naar de pagina van weer een vreemde, een pagina van een jonge vrouw uit Indiana. Ze stuurden een e-mail naar een van hun eigen accounts om dit te bewijzen. Ze waren stomverbaasd.
“Ik dacht dat het de telefoon was – ‘Misschien is deze telefoon gewoon raar en doet hij magische, vreselijke dingen en moet ik hem wegdoen’”, zei Candace Sawyer.
De vrouwen, die samenwonen in East Point, Georgia, buiten Atlanta, hadden onlangs een upgrade naar hetzelfde telefoonmodel uitgevoerd en gebruikten allemaal dezelfde provider, AT&T.
Sawyer nam contact op met The Associated Press nadat hij het probleem aan Facebook en AT&T had gemeld. Het probleem zat niet in de telefoons. Het was een fout in de infrastructuur die de telefoons met internet verbond. Dat belicht een ernstig probleem.
Over het algemeen worden websites en computers van binnenuit gehackt. Een hacker kan een webpagina of computers zover krijgen dat hij programmeercode uitvoert die hij niet zou moeten uitvoeren. Maar in dit geval was het een beveiligingslek tussen de telefoon en de website waardoor de Facebook-pagina's van vreemden aan de Sawyers werden blootgesteld. Verkeerd geconfigureerde apparatuur, slecht geschreven netwerksoftware of andere technische fouten hadden ervoor kunnen zorgen dat AT&T de informatie die van de telefoons van de Sawyers naar Facebook en weer terug stroomde, had gemanipuleerd.
Gelukkig, zei Hamiel, zou de kwetsbaarheid van beperkt nut zijn voor een hacker die geïnteresseerd is in het veroorzaken van wijdverspreide chaos, omdat dit gat hem slechts toegang zou geven tot één account tegelijk. Om meer schade aan te richten zou de crimineel de onwaarschijnlijke prestatie moeten leveren om volledige controle te krijgen over het apparaat dat internetverkeer naar individuele gebruikers leidt.
AT&T-woordvoerder Michael Coe zei dat zijn draadloze klanten in “een beperkt aantal gevallen” op de verkeerde Facebook-pagina’s zijn beland en dat een netwerkprobleem achter deze afleveringen wordt opgelost.
De Sawyers ondervonden een ander probleem. Coe zei dat een onderzoek wijst op een ‘verkeerd geplaatste cookie’. Een cookie is een bestand dat sommige websites op computers plaatsen om identificerende informatie op te slaan, inclusief de gebruikersnaam die Facebook-leden zouden invoeren om toegang te krijgen tot hun Pagina's. Coe zei dat technici niet konden achterhalen hoe de cookie naar de verkeerde telefoon was geleid, waardoor deze naar het verkeerde Facebook-account werd geleid.
Hij zei ook dat AT&T alleen kon bevestigen dat het probleem zich voordeed op een van de telefoons van de Sawyers, mogelijk omdat ze Facebook hadden afgemeld op de andere twee voordat ze het incident meldden. Facebook weigerde commentaar te geven en verwees vragen door naar AT&T.
Sommige websites zouden immuun zijn voor dit soort verwarring, vooral websites die encryptie gebruiken. Een webbrowser zou problemen hebben met het ontcijferen van de codering op een pagina waar een computergebruiker niet daadwerkelijk naar op zoek was, zegt Chris Wysopal, medeoprichter van Veracode Inc., een beveiligingsbedrijf.
Gevoelige sites en sites die worden gebruikt voor bankieren en e-commerce maken over het algemeen gebruik van encryptie. Maar de meeste andere sites, waaronder enkele webgebaseerde e-maildiensten, maken er geen gebruik van. Eén manier om dit te controleren: de webadressen van gecodeerde sites beginnen met ‘https’ in plaats van ‘http’. Facebook gebruikt encryptie wanneer Gebruikersnamen en wachtwoorden worden ingevoerd om de aanmelding te verbergen voor nieuwsgierige mensen, maar nadat de inloggegevens zijn ingevoerd, wordt de codering liet vallen.
Het is onduidelijk hoeveel mensen getroffen werden door het probleem dat de Sawyers ontdekten, en of het beperkt bleef tot Facebook.
De reden dat alle drie de vrouwen de storing ondervonden, is een functie van de manier waarop mobiele netwerken zijn ontworpen. In sommige gevallen wordt al het mobiele internetverkeer voor een bepaald gebied via hetzelfde netwerkapparaat geleid. Als dat apparaat zich niet goed gedraagt of verkeerd is ingesteld, gebeuren er vreemde dingen wanneer computers verderop in de lijn de gegevens ontvangen.
Meestal betekent dit dat een website gewoon niet kan worden geladen, zegt Alberto Solino, directeur beveiligingsadviesdiensten voor Core Security Technologies. In het geval van de Sawyers ‘kregen ze op de een of andere manier de verkeerde gebruiker, maar konden ze dat account lange tijd blijven gebruiken. Dat is het vreemde”, zei hij.
De AP probeerde contact op te nemen met twee van de mensen waarvan de Facebook-pagina's openbaar werden gemaakt naar de Sawyers, maar de telefoontjes en e-mails werden niet beantwoord. Het is onduidelijk of zij ook AT&T-klanten zijn, hoewel beveiligingsexperts zeggen dat dit waarschijnlijk het geval is.
Bij een soortgelijk incident in november was dat inderdaad het geval. Stephen Simburg, 25, die in marketing werkt, was thuis voor Thanksgiving in Vancouver, Washington, toen hij vanaf zijn mobiele telefoon inlogde op Facebook. Hij herkende de mensen niet die hem berichten hadden geschreven.
‘Ik dacht dat ik ineens heel populair was geworden, of dat er iets mis was’, zei hij. Toen zag hij de foto van de rekeningeigenaar: een jonge vrouw. Hij haalde haar e-mailadres van de site, logde uit en schreef de vrouw een bericht. Hij vroeg of hij haar ooit had ontmoet en dat ze zijn telefoon had geleend om haar Facebook-account te controleren.
“Nee”, schreef ze terug, “maar ik vertelde mijn familie net dat ik in jouw profiel terechtkwam!”
Simburg en de vrouw kwamen erachter dat ze allebei AT&T gebruikten om op hun telefoons toegang te krijgen tot Facebook. (AT&T had geen commentaar omdat het incident niet aan het bedrijf was gemeld.)
“Ik had het gevoel dat ik in de steek was gelaten door het telefoonbedrijf en door Facebook”, zei hij. Hij zegt dat hij het incident achter zich heeft gelaten. Maar er blijft één stukje over: hij en de jonge vrouw zijn nu Facebook-vrienden.
Aanbevelingen van de redactie
- Hoe u uw Facebook-feed kunt instellen om de meest recente berichten weer te geven
- Rollen staan op het punt te verschijnen in weer een andere Facebook-functie
- Meta vond meer dan 400 mobiele apps ‘ontworpen om Facebook-logins te stelen
- Wat is de beste tijd om op Facebook te posten?
- Je kunt nu de Add Yours-sticker op Reels voor Facebook en Instagram gebruiken
