Uma mãe da Geórgia e as suas duas filhas iniciaram sessão no Facebook a partir de telemóveis no fim de semana passado e acabaram num lugar surpreendente: contas de estranhos com acesso total a um tesouro de informações privadas. A falha - o resultado de um problema de roteamento no foperadora sem fio da família, AT&T – revelou uma falha de segurança pouco conhecida com implicações de longo alcance para todos na Internet, não apenas para os usuários do Facebook.
Em cada caso, a Internet perdeu a noção de quem era quem, colocando as mulheres nas contas erradas. Não parece que os usuários poderiam ter feito algo para impedir isso. O problema acrescenta uma dimensão aos alertas dos investigadores de que há muitas formas pelas quais a informação online – desde dados mundanos a segredos obscuros – pode dar errado.
Vídeos recomendados
Vários especialistas em segurança disseram não ter ouvido falar de um caso como esse, em que foi mostrada à pessoa errada uma página da Web cujo nome de usuário e senha haviam sido digitados por outra pessoa. Não está claro se tais episódios são raros ou simplesmente não são relatados. Mas especialistas dizem que tais falhas podem ocorrer em serviços de e-mail, por exemplo, e que algo semelhante pode acontecer em um PC, e não apenas em um telefone.
Relacionado
- Como criar vários perfis para sua conta do Facebook
- O que é um Pixel do Facebook? Ferramenta de rastreamento do Meta, explicada
- Os novos controles do Facebook oferecem mais personalização do seu Feed
“O fato de ter acontecido é a prova de que poderia acontecer novamente e com algo muito mais importante que o Facebook”, disse Nathan Hamiel, fundador do Hexagon Security Group, uma empresa de pesquisa organização.
Candace Sawyer, 26, diz que suspeitou imediatamente que algo estava errado quando tentou visitar sua página no Facebook na manhã de sábado.
Depois de digitar Facebook.com em seu smartphone Nokia, ela foi levada ao site sem que seu nome de usuário ou senha fosse solicitado. Ela estava em uma conta que não parecia com a dela. Ela tinha menos pedidos de amizade do que lembrava. Então ela encontrou uma foto do dono da página.
“Ele é branco – eu não sou”, disse ela rindo.
Sawyer desconectou-se e perguntou à irmã, Mari, 31, sócia em uma empresa de catering de sobremesas, e à mãe, Fran, 57, para ver se elas tinham o mesmo problema em seus telefones. Mari caiu na página de outra mulher.
O telefone de Fran – que nunca havia sido usado para acessar o Facebook antes – a levou para dentro de outra página estranha, pertencente a uma jovem de Indiana. Eles enviaram um e-mail para uma de suas próprias contas para provar isso. Eles ficaram pasmos.
“Achei que fosse o telefone - 'Talvez esse telefone seja estranho e faça coisas mágicas e horríveis e eu tenha que me livrar dele'”, disse Candace Sawyer.
As mulheres, que moram juntas em East Point, Geórgia, nos arredores de Atlanta, atualizaram recentemente para o mesmo modelo de telefone e usaram a mesma operadora, a AT&T.
Sawyer contatou a Associated Press depois de relatar o problema ao Facebook e à AT&T. O problema não estava nos telefones. Foi uma falha na infraestrutura que conecta os telefones à Internet. Isso ilumina um grave problema.
Geralmente sites e computadores são comprometidos internamente. Um hacker pode fazer com que uma página da Web ou computadores executem códigos de programação que não deveriam. Mas, neste caso, foi uma falha de segurança entre o telefone e o site que expôs as páginas de estranhos no Facebook aos Sawyers. Equipamentos mal configurados, software de rede mal escrito ou outros erros técnicos poderiam ter feito com que a AT&T se atrapalhasse com as informações que fluíam dos telefones dos Sawyers para o Facebook e vice-versa.
Felizmente, disse Hamiel, a vulnerabilidade seria de uso limitado para um hacker interessado em provocar o caos generalizado, porque essa falha permitiria que ele acessasse apenas uma conta por vez. Para causar mais danos, o criminoso teria que realizar a façanha improvável de obter controle total do equipamento que direciona o tráfego da Internet para usuários individuais.
O porta-voz da AT&T, Michael Coe, disse que seus clientes sem fio acessaram páginas erradas do Facebook em “um número limitado de casos” e que um problema de rede por trás desses episódios está sendo corrigido.
Os Sawyers experimentaram uma falha diferente. Coe disse que uma investigação aponta para um “cookie mal direcionado”. Um cookie é um arquivo que alguns sites colocam em computadores para armazenar informações de identificação – incluindo o nome de usuário que os membros do Facebook inseririam para acessar seus Páginas. Coe disse que os técnicos não conseguiram descobrir como o cookie foi encaminhado para o telefone errado, levando-o para a conta errada do Facebook.
Ele também disse que a AT&T só poderia confirmar que o problema ocorreu em um dos telefones dos Sawyers, possivelmente porque eles haviam desconectado o Facebook dos outros dois antes de relatar o incidente. O Facebook se recusou a comentar e encaminhou as perguntas à AT&T.
Alguns sites estariam imunes a esse tipo de confusão, especialmente aqueles que usam criptografia. Um navegador da Web teria problemas para decifrar a criptografia de uma página que o usuário do computador não procurasse, disse Chris Wysopal, cofundador da Veracode Inc., uma empresa de segurança.
Sites confidenciais e aqueles usados para serviços bancários e de comércio eletrônico geralmente usam criptografia. Mas a maioria dos outros sites, incluindo alguns serviços de e-mail baseados na Web, não o utiliza. Uma maneira de verificar: os endereços da Web de sites criptografados começam com “https” em vez de “http”. O Facebook usa criptografia quando nomes de usuário e senhas são inseridos, para ocultar o login de bisbilhoteiros, mas depois que as credenciais são inseridas, a criptografia é derrubado.
Não está claro quantas pessoas foram afetadas pelo problema descoberto pelos Sawyers e se ele se limitou ao Facebook.
A razão pela qual todas as três mulheres experimentaram a falha é uma função da forma como as redes celulares são projetadas. Em alguns casos, todo o tráfego de Internet móvel para uma área específica é roteado através do mesmo equipamento de rede. Se esse equipamento estiver se comportando mal ou estiver configurado incorretamente, coisas estranhas acontecem quando os computadores recebem os dados.
Normalmente, isso significa que um site simplesmente não carrega, disse Alberto Solino, diretor de serviços de consultoria de segurança da Core Security Technologies. No caso dos Sawyers, “de alguma forma, eles pegaram o usuário errado, mas puderam continuar usando essa conta por um longo período de tempo. Isso é o que é estranho”, disse ele.
A AP tentou entrar em contato com duas das pessoas cujas páginas do Facebook foram expostas para os Sawyers, mas as ligações e e-mails não foram retornados. Não está claro se eles também são clientes da AT&T, embora especialistas em segurança afirmem que esse é provavelmente o caso.
Na verdade, foi o que aconteceu num incidente semelhante em Novembro. Stephen Simburg, 25 anos, que trabalha com marketing, estava em casa no Dia de Ação de Graças em Vancouver, Washington, quando se conectou ao Facebook pelo celular. Ele não reconheceu as pessoas que lhe escreveram mensagens.
“Achei que tinha ficado muito popular de repente ou que algo estava errado”, disse ele. Então ele viu a foto do dono da conta: Uma jovem. Ele conseguiu o endereço de e-mail dela no site, desconectou-se e escreveu uma mensagem para a mulher. Ele perguntou se a havia conhecido em algum momento e ela havia emprestado o telefone dele para verificar sua conta no Facebook.
“Não”, ela respondeu, “mas eu estava dizendo à minha família que acabei no seu perfil!”
Simburg e a mulher descobriram que ambos estavam usando a AT&T para acessar o Facebook em seus telefones. (A AT&T não fez comentários porque o incidente não foi relatado à empresa.)
“Senti como se tivesse sido decepcionado pela companhia telefônica e pelo Facebook”, disse ele. Ele diz que deixou o incidente para trás. Mas resta uma parte: ele e a jovem agora são amigos no Facebook.
Recomendações dos Editores
- Como configurar seu feed do Facebook para mostrar as postagens mais recentes
- Os Reels estão prestes a aparecer em mais um recurso do Facebook
- Meta encontrou mais de 400 aplicativos móveis ‘projetados para roubar’ logins do Facebook
- Qual é a melhor hora para postar no Facebook?
- Agora você pode usar o adesivo Add Yours no Reels para Facebook e Instagram
