Matka z Georgie a jej dve dcéry sa minulý víkend prihlásili na Facebook z mobilných telefónov a skončili na prekvapujúcom mieste: účty cudzincov s úplným prístupom k množstvu súkromných informácií. Závada — výsledok problému so smerovaním na fbezdrôtový operátor amily, AT&T — odhalil málo známu bezpečnostnú chybu s ďalekosiahlymi dôsledkami pre každého na internete, nielen pre používateľov Facebooku.
V každom prípade internet stratil prehľad o tom, kto je kto, a uviedol ženy do nesprávnych účtov. Nezdá sa, že by používatelia mohli urobiť čokoľvek, aby to zastavili. Problém pridáva rozmer varovaniam výskumníkov, že existuje mnoho spôsobov, ako sa online informácie – od svetských údajov až po temné tajomstvá – môžu pokaziť.
Odporúčané videá
Niekoľko bezpečnostných expertov uviedlo, že nepočuli o podobnom prípade, v ktorom by sa nesprávnej osobe zobrazila webová stránka, ktorej používateľské meno a heslo zadal niekto iný. Nie je jasné, či sú takéto epizódy zriedkavé alebo jednoducho nie sú hlásené. Odborníci však uviedli, že takéto chyby sa môžu vyskytnúť napríklad v e-mailových službách a že niečo podobné sa môže stať aj na počítači, nielen na telefóne.
Súvisiace
- Ako vytvoriť viacero profilov pre svoj účet na Facebooku
- Čo je to Facebook Pixel? Nástroj na sledovanie Meta, vysvetlené
- Nové ovládacie prvky Facebooku ponúkajú lepšie prispôsobenie vášho informačného kanála
„Skutočnosť, že sa to stalo, je dôkazom toho, že by sa to mohlo stať znova a s niečím oveľa viac dôležitejšie ako Facebook,“ povedal Nathan Hamiel, zakladateľ výskumu Hexagon Security Group Organizácia.
Candace Sawyer, 26, hovorí, že okamžite tušila, že niečo nie je v poriadku, keď sa v sobotu ráno pokúsila navštíviť jej stránku na Facebooku.
Po napísaní Facebook.com do svojho smartfónu Nokia, bola prijatá na stránku bez toho, aby bola požiadaná o jej používateľské meno alebo heslo. Bola na účte, ktorý nevyzeral ako jej. Mala menej žiadostí o priateľstvo, ako si pamätala. Potom našla obrázok majiteľa stránky.
"On je biely - ja nie," povedala so smiechom.
Sawyer sa odhlásila a požiadala svoju sestru Mari (31), jej partnera v spoločnosti poskytujúcej dezerty a ich matku Fran (57), aby zistili, či majú rovnaký problém na svojich telefónoch. Mari pristála na stránke inej ženy.
Franin telefón, ktorý sa nikdy predtým nepoužil na prístup na Facebook, ju priviedol na stránku ďalšej cudzinky, ktorá patrila mladej žene z Indiany. Poslali e-mail na jeden zo svojich vlastných účtov, aby to dokázali. Boli v nemom úžase.
"Myslela som si, že je to telefón - možno je tento telefón len divný a robí magické, hrozné veci a musím sa ho zbaviť," povedala Candace Sawyer.
Ženy, ktoré spolu žijú v East Point, Georgia, mimo Atlanty, nedávno prešli na rovnaký model telefónu a všetky používali rovnakého operátora, AT&T.
Sawyer po nahlásení problému Facebooku a AT&T kontaktoval The Associated Press. Problém nebol v telefónoch. Bola to chyba v infraštruktúre spájajúcej telefóny s internetom. To objasňuje vážny problém.
Vo všeobecnosti sú webové stránky a počítače napadnuté zvnútra. Hacker môže získať webovú stránku alebo počítače na spustenie programovacieho kódu, ktorý by nemal. Ale v tomto prípade to bola bezpečnostná medzera medzi telefónom a webom, ktorá odhalila cudzie facebookové stránky Sawyerovcom. Nesprávne nakonfigurované zariadenie, zle napísaný sieťový softvér alebo iné technické chyby mohli spôsobiť, že spoločnosť AT&T zachytila informácie prúdiace z telefónov Sawyerovcov na Facebook a späť.
Našťastie, Hamiel povedal, že táto zraniteľnosť by bola pre hackerov, ktorí majú záujem o odstránenie rozsiahleho chaosu, obmedzená, pretože táto diera by mu umožnila prístup iba k jednému účtu naraz. Na to, aby napáchal viac škody, by sa zločinec musel podrobiť nepravdepodobnému výkonu, ktorým je získanie plnej kontroly nad zariadením, ktoré smeruje internetový prenos k jednotlivým používateľom.
Hovorca AT&T Michael Coe uviedol, že jej bezdrôtoví zákazníci sa dostali na nesprávne stránky na Facebooku v „obmedzenom počte prípadov“ a že problém so sieťou za týmito epizódami sa rieši.
Sawyerovci zažili inú závadu. Coe povedal, že vyšetrovanie poukazuje na „nesprávne presmerovaný súbor cookie“. Cookie je súbor, ktorý niektoré webové stránky umiestňujú do počítačov na ukladanie identifikačných informácií – vrátane používateľského mena, ktoré by členovia Facebooku zadali, aby získali prístup k nim stránky. Coe povedal, že technici nedokázali zistiť, ako bol súbor cookie nasmerovaný na nesprávny telefón, čo ho priviedlo na nesprávny účet na Facebooku.
Povedal tiež, že AT&T môže potvrdiť iba to, že problém sa vyskytol na jednom z telefónov Sawyerovcov, pravdepodobne preto, že sa na ostatných dvoch odhlásili z Facebooku pred nahlásením incidentu. Facebook odmietol komentovať a postúpil otázky spoločnosti AT&T.
Niektoré webové stránky by boli voči tomuto druhu zámeny imúnne, najmä tie, ktoré používajú šifrovanie. Webový prehliadač by mal problém rozlúštiť šifrovanie na stránke, ktorú používateľ počítača v skutočnosti nehľadal, povedal Chris Wysopal, spoluzakladateľ Veracode Inc., bezpečnostnej spoločnosti.
Citlivé stránky a stránky používané na bankovníctvo a elektronický obchod vo všeobecnosti používajú šifrovanie. Väčšina ostatných stránok, vrátane niektorých webových e-mailových služieb, ho však nepoužíva. Jeden spôsob kontroly: Webové adresy šifrovaných stránok začínajú reťazcom „https“ a nie „http“. Facebook používa šifrovanie, keď zadávajú sa používateľské mená a heslá, aby sa zamaskovalo prihlásenie pred sledovaním, ale po zadaní prihlasovacích údajov sa šifrovanie klesol.
Nie je jasné, koľko ľudí bolo ovplyvnených problémom, ktorý Sawyers objavil, a či bol obmedzený na Facebook.
Dôvodom, prečo všetky tri ženy zažili poruchu, je spôsob, akým sú navrhnuté mobilné siete. V niektorých prípadoch je všetka prevádzka mobilného internetu pre určitú oblasť smerovaná cez rovnaké sieťové zariadenie. Ak sa toto zariadenie správa nesprávne alebo je nesprávne nastavené, stávajú sa zvláštne veci, keď počítače v rade prijímajú údaje.
Zvyčajne to znamená, že webová stránka sa jednoducho nenačíta, povedal Alberto Solino, riaditeľ bezpečnostných konzultačných služieb pre Core Security Technologies. V prípade Sawyerovcov „nejako dostali nesprávneho používateľa, ale mohli tento účet používať dlhú dobu. To je zvláštne,“ povedal.
Agentúra AP sa pokúsila kontaktovať dvoch ľudí ktorých facebookové stránky boli odhalené Sawyerovcom, ale hovory a e-maily sa nevrátili. Nie je jasné, či sú tiež zákazníkmi AT&T, hoci odborníci na bezpečnosť uviedli, že je to pravdepodobne tak.
Tak tomu bolo aj v prípade podobného incidentu v novembri. Stephen Simburg, 25, ktorý pracuje v marketingu, bol doma na Deň vďakyvzdania vo Vancouveri, Washington, keď sa prihlásil na Facebook zo svojho mobilného telefónu. Nepoznal ľudí, ktorí mu písali správy.
"Myslel som si, že som sa zrazu stal skutočne populárnym, alebo niečo nie je v poriadku," povedal. Potom uvidel obrázok majiteľa účtu: Mladá žena. Zo stránky získal jej e-mailovú adresu, odhlásil sa a napísal žene správu. Spýtal sa, či sa s ňou niekedy stretol a ona si požičala jeho telefón, aby si skontrolovala svoj účet na Facebooku.
"Nie," odpísala, "ale práve som povedala svojej rodine, že som skončila vo vašom profile!"
Simburg a žena zistili, že obaja používajú AT&T na prístup k Facebooku na svojich telefónoch. (AT&T nemal žiadne pripomienky, pretože incident nebol spoločnosti nahlásený.)
„Cítil som sa, akoby ma sklamala telefónna spoločnosť a Facebook,“ povedal. Tvrdí, že incident nechal za sebou. Jedna časť z toho však zostáva: On a mladá žena sú teraz priateľmi na Facebooku.
Odporúčania redaktorov
- Ako nastaviť váš Facebook Feed tak, aby zobrazoval najnovšie príspevky
- Kotúče sa čoskoro objavia v ďalšej funkcii Facebooku
- Meta našla viac ako 400 mobilných aplikácií „navrhnutých na ukradnutie“ prihlásení na Facebook
- Kedy je najlepší čas uverejňovať príspevky na Facebooku?
- Teraz môžete použiť nálepku Add Yours na kotúčoch pre Facebook a Instagram
