Matka z Gruzji i jej dwie córki zalogowały się w zeszły weekend na Facebooku za pomocą telefonów komórkowych i znalazły się w zaskakującym miejscu: na kontach nieznajomych z pełnym dostępem do wielu prywatnych informacji. Usterka — wynik problemu z routingiem na linii fbezprzewodowy operator rodziny, AT&T — ujawniło mało znaną lukę w zabezpieczeniach, która ma dalekosiężne konsekwencje dla wszystkich użytkowników Internetu, nie tylko użytkowników Facebooka.
W każdym przypadku Internet stracił orientację, kto jest kim, umieszczając kobiety na niewłaściwych kontach. Nie wygląda na to, że użytkownicy mogli zrobić cokolwiek, aby temu zapobiec. Problem dodaje wymiaru ostrzeżeniom badaczy, że informacje w Internecie – od przyziemnych danych po mroczne tajemnice – mogą na wiele sposobów pójść nie tak.
Polecane filmy
Kilku ekspertów ds. bezpieczeństwa stwierdziło, że nie słyszało o takim przypadku, w którym niewłaściwej osobie wyświetliła się strona internetowa, której nazwę użytkownika i hasło wprowadził ktoś inny. Nie jest jasne, czy takie epizody są rzadkie, czy po prostu nie są zgłaszane. Jednak eksperci twierdzą, że takie wady mogą wystąpić na przykład w usługach e-mail i że coś podobnego może wystąpić na komputerze PC, a nie tylko na telefonie.
Powiązany
- Jak utworzyć wiele profili dla swojego konta na Facebooku
- Co to jest piksel Facebooka? Wyjaśnienie narzędzia śledzącego Meta
- Nowe elementy sterujące Facebooka umożliwiają większą personalizację Twojego kanału
„Fakt, że tak się stało, jest dowodem na to, że potencjalnie może się to powtórzyć i to z czymś znacznie więcej ważniejsze niż Facebook” – powiedział Nathan Hamiel, założyciel badania Hexagon Security Group organizacja.
26-letnia Candace Sawyer twierdzi, że gdy w sobotę rano próbowała odwiedzić swoją stronę na Facebooku, od razu podejrzewała, że coś jest nie tak.
Po wpisaniu Facebook.com na swoim smartfonie Nokia, została przeniesiona na stronę bez pytania o nazwę użytkownika i hasło. Miała konto, które nie wyglądało jak jej. Miała mniej zaproszeń do grona znajomych, niż pamiętała. Potem znalazła zdjęcie właściciela strony.
„On jest biały, ja nie” – powiedziała ze śmiechem.
Sawyer wylogowała się i zapytała swoją siostrę Mari (31 l.), swojego partnera w firmie zajmującej się cateringiem deserów oraz ich matkę, Fran (57 l.), aby sprawdzili, czy mają ten sam problem na swoich telefonach. Mari wylądowała na stronie innej kobiety.
Telefon Fran – którego nigdy wcześniej nie używano do logowania się na Facebooku – zabrał ją na stronę kolejnej nieznajomej, należącej do młodej kobiety z Indiany. Aby to udowodnić, wysłali e-mail na jedno ze swoich kont. Byli oniemiali.
„Myślałam, że to telefon. Może ten telefon jest po prostu dziwny i robi magiczne, okropne rzeczy, więc muszę się go pozbyć” – powiedziała Candace Sawyer.
Kobiety, które mieszkają razem w East Point w stanie Georgia, niedaleko Atlanty, niedawno przesiadły się na ten sam model telefonu i wszystkie korzystały z usług tego samego operatora, AT&T.
Po zgłoszeniu problemu Facebookowi i AT&T Sawyer skontaktował się z Associated Press. Problem nie tkwił w telefonach. Była to wada infrastruktury łączącej telefony z Internetem. To rzuca światło na poważny problem.
Zwykle witryny sieci Web i komputery są zagrożone od wewnątrz. Haker może zmusić stronę internetową lub komputery do uruchomienia kodu, którego nie powinien. Jednak w tym przypadku luka w zabezpieczeniach między telefonem a witryną internetową ujawniła Sawyerom strony nieznajomych na Facebooku. Źle skonfigurowany sprzęt, źle napisane oprogramowanie sieciowe lub inne błędy techniczne mogły spowodować, że AT&T grzebała w informacjach przesyłanych z telefonów Sawyerów do Facebooka i z powrotem.
Na szczęście, jak powiedział Hamiel, luka ta będzie miała ograniczone zastosowanie dla hakera zainteresowanego wywołaniem powszechnego chaosu, ponieważ ta dziura umożliwi mu dostęp tylko do jednego konta na raz. Aby wyrządzić większe szkody, przestępca musiałby dokonać mało prawdopodobnego wyczynu przejęcia pełnej kontroli nad sprzętem kierującym ruch internetowy do indywidualnych użytkowników.
Rzecznik AT&T, Michael Coe, powiedział, że klienci korzystający z sieci bezprzewodowej trafiali na niewłaściwe strony Facebooka „w ograniczonej liczbie przypadków” i że problem z siecią będący przyczyną tych epizodów jest już naprawiany.
Sawyerowie doświadczyli innej usterki. Coe powiedział, że dochodzenie wskazuje na „źle skierowany plik cookie”. Plik cookie to plik, który niektóre witryny internetowe umieszczają na komputerach do przechowywania informacji identyfikujących — w tym nazwy użytkownika, którą użytkownicy Facebooka wprowadzaliby, aby uzyskać dostęp do swoich strony. Coe powiedział, że technicy nie byli w stanie ustalić, w jaki sposób plik cookie został przekierowany na niewłaściwy telefon i trafił na niewłaściwe konto na Facebooku.
Powiedział również, że AT&T może potwierdzić jedynie, że problem wystąpił na jednym z telefonów Sawyerów, prawdopodobnie dlatego, że przed zgłoszeniem incydentu wylogowali się z Facebooka na pozostałych dwóch. Facebook odmówił komentarza i skierował pytania do AT&T.
Niektóre witryny internetowe, szczególnie te, które korzystają z szyfrowania, byłyby odporne na tego rodzaju pomyłki. Przeglądarka internetowa miałaby problemy z odszyfrowaniem szyfrowanej strony, której użytkownik komputera tak naprawdę nie szukał, powiedział Chris Wysopal, współzałożyciel Veracode Inc., firmy zajmującej się bezpieczeństwem.
Wrażliwe witryny oraz te wykorzystywane w bankowości i handlu elektronicznym zazwyczaj korzystają z szyfrowania. Jednak większość innych witryn, w tym niektóre internetowe usługi poczty e-mail, nie korzysta z niego. Jeden ze sposobów sprawdzenia: adresy internetowe zaszyfrowanych witryn zaczynają się od „https”, a nie „http”. Facebook używa szyfrowania, gdy wprowadzane są nazwy użytkowników i hasła, aby ukryć logowanie przed szpiegami, ale po wprowadzeniu poświadczeń szyfrowanie jest upuszczony.
Nie jest jasne, ile osób dotknął problem odkryty przez Sawyersa i czy dotyczył on tylko Facebooka.
Powodem, dla którego wszystkie trzy kobiety doświadczyły tej usterki, jest sposób, w jaki zaprojektowano sieci komórkowe. W niektórych przypadkach cały mobilny ruch internetowy na określonym obszarze jest kierowany przez ten sam sprzęt sieciowy. Jeśli ten sprzęt działa nieprawidłowo lub jest nieprawidłowo skonfigurowany, gdy komputery znajdujące się dalej na linii odbierają dane, dzieją się dziwne rzeczy.
Zwykle oznacza to, że witryna internetowa po prostu się nie ładuje, powiedział Alberto Solino, dyrektor ds. usług konsultingowych w zakresie bezpieczeństwa w firmie Core Security Technologies. W przypadku Sawyerów „w jakiś sposób trafili na niewłaściwego użytkownika, ale mogli używać tego konta przez długi czas. To właśnie jest dziwne” – powiedział.
AP próbowała skontaktować się z dwiema osobami których strony na Facebooku zostały ujawnione do Sawyerów, ale telefony i e-maile nie zostały zwrócone. Nie jest jasne, czy są oni również klientami AT&T, choć eksperci ds. bezpieczeństwa twierdzą, że tak jest prawdopodobnie.
Rzeczywiście tak było w przypadku podobnego zdarzenia w listopadzie. Stephen Simburg (25 lat), który pracuje w marketingu, był w domu na Święto Dziękczynienia w Vancouver w stanie Waszyngton, kiedy zalogował się na Facebooku ze swojego telefonu komórkowego. Nie rozpoznał osób, które pisały do niego wiadomości.
„Myślałem, że nagle stałem się naprawdę popularny, albo coś było nie tak” – powiedział. Potem zobaczył zdjęcie właścicielki konta: młoda kobieta. Wziął ze strony jej adres e-mail, wylogował się i napisał do kobiety wiadomość. Zapytał, czy spotkał ją kiedyś, a ona pożyczyła jego telefon, żeby sprawdzić swoje konto na Facebooku.
„Nie” – odpisała – „ale właśnie mówiłam rodzinie, że trafiłam na Twój profil!”
Simburg i kobieta zorientowali się, że oboje korzystają z sieci AT&T, aby uzyskać dostęp do Facebooka na swoich telefonach. (AT&T nie skomentowała tego, ponieważ incydent nie został zgłoszony firmie.)
„Czułem się, jakbym został zawiedziony przez operatora telekomunikacyjnego i Facebooka” – powiedział. Mówi, że zostawił to wydarzenie za sobą. Ale jedno pozostaje: on i młoda kobieta są teraz znajomymi na Facebooku.
Zalecenia redaktorów
- Jak ustawić swój kanał na Facebooku, aby wyświetlał najnowsze posty
- Bębny wkrótce pojawią się w kolejnej funkcji Facebooka
- Meta znalazła ponad 400 aplikacji mobilnych „zaprojektowanych do kradzieży” loginów do Facebooka
- Kiedy jest najlepszy czas na publikowanie postów na Facebooku?
- Możesz teraz używać naklejki Dodaj swoje na Reels na Facebooku i Instagramie
