En mor fra Georgia og hennes to døtre logget på Facebook fra mobiltelefoner forrige helg og endte opp på et oppsiktsvekkende sted: fremmede kontoer med full tilgang til mengder av privat informasjon. Feilen - resultatet av et ruteproblem ved familys trådløse operatør, AT&T — avslørte en lite kjent sikkerhetsfeil med vidtrekkende implikasjoner for alle på Internett, ikke bare Facebook-brukere.
I hvert tilfelle mistet Internett oversikten over hvem som var hvem, og satte kvinnene inn på feil kontoer. Det ser ikke ut til at brukerne kunne ha gjort noe for å stoppe det. Problemet gir en dimensjon til forskernes advarsler om at det er mange måter nettinformasjon – fra hverdagslige data til mørke hemmeligheter – kan gå galt.
Anbefalte videoer
Flere sikkerhetseksperter sa at de ikke hadde hørt om en sak som dette, der feil person ble vist en webside hvis brukernavn og passord var skrevet inn av noen andre. Det er ikke klart om slike episoder er sjeldne eller bare ikke rapportert. Men eksperter sa at slike feil kan oppstå på e-posttjenester, for eksempel, og at noe lignende kan skje på en PC, ikke bare en telefon.
I slekt
- Hvordan opprette flere profiler for Facebook-kontoen din
- Hva er en Facebook Pixel? Metas sporingsverktøy, forklart
- Facebooks nye kontroller tilbyr mer tilpasning av feeden din
"Det faktum at det skjedde er et bevis på at det potensielt kan skje igjen og med noe mye mer viktig enn Facebook," sa Nathan Hamiel, grunnlegger av Hexagon Security Group, en forskning organisasjon.
Candace Sawyer, 26, sier at hun umiddelbart mistenkte at noe var galt da hun prøvde å besøke Facebook-siden hennes lørdag morgen.
Etter å ha skrevet Facebook.com inn i Nokia-smarttelefonen, ble hun tatt inn på siden uten å bli spurt om brukernavn eller passord. Hun var på en konto som ikke så ut som hennes. Hun hadde færre venneforespørsler enn hun husket. Så fant hun et bilde av sidens eier.
"Han er hvit - det er jeg ikke," sa hun med en latter.
Sawyer logget av og spurte søsteren hennes, Mari (31), partneren hennes i et dessertcateringfirma, og moren deres, Fran (57), om de hadde det samme problemet på telefonene sine. Mari landet på en annen kvinnes side.
Frans telefon – som aldri hadde vært brukt til å få tilgang til Facebook før – tok henne med inn på enda en fremmed side, en som tilhørte en ung kvinne fra Indiana. De sendte en e-post til en av sine egne kontoer for å bevise det. De ble målløse.
"Jeg trodde det var telefonen - "Kanskje denne telefonen bare er rar og gjør magiske, forferdelige ting, og jeg må kvitte meg med den," sa Candace Sawyer.
Kvinnene, som bor sammen i East Point, Ga., utenfor Atlanta, hadde nylig oppgradert til samme telefonmodell og brukte alle samme operatør, AT&T.
Sawyer kontaktet Associated Press etter å ha rapportert problemet til Facebook og AT&T. Problemet var ikke i telefonene. Det var en feil i infrastrukturen som koblet telefonene til Internett. Det lyser opp et alvorlig problem.
Generelt blir nettsteder og datamaskiner kompromittert innenfra. En hacker kan få en nettside eller datamaskiner til å kjøre programmeringskode som de ikke burde. Men i dette tilfellet var det et sikkerhetsgap mellom telefonen og nettstedet som avslørte fremmedes Facebook-sider for Sawyers. Feilkonfigurert utstyr, dårlig skrevet nettverksprogramvare eller andre tekniske feil kan ha fått AT&T til å fomle informasjonen som strømmer fra Sawyers' telefoner til Facebook og tilbake.
Heldigvis, sa Hamiel, ville sårbarheten være til begrenset nytte for en hacker som er interessert i å få til omfattende kaos, fordi dette hullet ville gi ham tilgang til kun én konto om gangen. For å gjøre mer skade må kriminelle utføre den usannsynlige bragden å få full kontroll over utstyret som dirigerer Internett-trafikk til individuelle brukere.
AT&T-talsmann Michael Coe sa at deres trådløse kunder har landet på feil Facebook-sider i «et begrenset antall tilfeller», og at et nettverksproblem bak disse episodene blir fikset.
The Sawyers opplevde en annen feil. Coe sa at en etterforskning peker på en «feilrettet informasjonskapsel». En informasjonskapsel er en fil enkelte nettsteder plasserer på datamaskiner for å lagre identifiserende informasjon - inkludert brukernavnet som Facebook-medlemmer ville angi for å få tilgang til deres sider. Coe sa at teknikere ikke kunne finne ut hvordan informasjonskapselen ble rutet til feil telefon, noe som førte den til feil Facebook-konto.
Han sa også at AT&T bare kunne bekrefte at problemet oppsto på en av Sawyers' telefoner, muligens fordi de hadde logget av Facebook på de to andre før de rapporterte hendelsen. Facebook nektet å kommentere og henviste spørsmål til AT&T.
Noen nettsteder vil være immune mot denne typen forveksling, spesielt de som bruker kryptering. En nettleser ville ha problemer med å tyde krypteringen på en side som en databruker faktisk ikke søkte, sa Chris Wysopal, medgründer av Veracode Inc., et sikkerhetsselskap.
Sensitive nettsteder og de som brukes til banktjenester og e-handel bruker generelt kryptering. Men de fleste andre nettsteder, inkludert enkelte nettbaserte e-posttjenester, bruker det ikke. En måte å sjekke på: Nettadressene til krypterte nettsteder begynner med "https" i stedet for "http." Facebook bruker kryptering når brukernavn og passord legges inn for å skjule påloggingen fra snoops, men etter at legitimasjonen er angitt er krypteringen falt.
Det er uklart hvor mange som ble berørt av problemet Sawyers oppdaget, og om det var begrenset til Facebook.
Grunnen til at alle tre kvinnene opplevde feilen er en funksjon av måten mobilnettverk er designet på. I noen tilfeller rutes all mobil Internett-trafikk for et bestemt område gjennom det samme nettverksutstyret. Hvis den delen av utstyret oppfører seg feil eller konfigurert feil, skjer rare ting når datamaskiner på linjen mottar dataene.
Vanligvis betyr det at et nettsted ganske enkelt ikke vil lastes, sa Alberto Solino, direktør for sikkerhetskonsulenttjenester for Core Security Technologies. I Sawyers tilfelle, "på en eller annen måte fikk de feil bruker, men de kunne fortsette å bruke den kontoen i lang tid. Det er det som er rart, sa han.
AP forsøkte å kontakte to av personene hvis Facebook-sider ble avslørt til Sawyers, men anropene og e-postene ble ikke returnert. Det er uklart om de også er AT&T-kunder, selv om sikkerhetseksperter sa at det sannsynligvis er tilfelle.
Det var faktisk tilfellet i en lignende hendelse i november. Stephen Simburg, 25, som jobber med markedsføring, var hjemme på Thanksgiving i Vancouver, Washington, da han logget på Facebook fra mobiltelefonen sin. Han kjente ikke igjen personene som hadde skrevet meldinger til ham.
"Jeg trodde jeg hadde blitt veldig populær plutselig, eller noe var galt," sa han. Så så han bildet av kontoeieren: En ung kvinne. Han fikk e-postadressen hennes fra nettstedet, logget av og skrev en melding til kvinnen. Han spurte om han hadde møtt henne på et tidspunkt, og hun hadde lånt telefonen hans for å sjekke Facebook-kontoen hennes.
"Nei," skrev hun tilbake, "men jeg fortalte bare familien min at jeg havnet på profilen din!"
Simburg og kvinnen fant ut at de begge brukte AT&T for å få tilgang til Facebook på telefonene sine. (AT&T hadde ingen kommentarer fordi hendelsen ikke ble rapportert til selskapet.)
"Jeg følte at jeg hadde blitt sviktet av telefonselskapet og av Facebook," sa han. Han sier han har lagt hendelsen bak seg. Men en del gjenstår: Han og den unge kvinnen er nå Facebook-venner.
Redaktørenes anbefalinger
- Slik stiller du inn Facebook-feeden din til å vise de siste innleggene
- Hjuler er i ferd med å dukke opp i enda en Facebook-funksjon
- Meta fant over 400 mobilapper "designet for å stjele" Facebook-pålogginger
- Når er den beste tiden å legge ut på Facebook?
- Du kan nå bruke Add Yours-klistremerket på Reels for Facebook og Instagram
