En mamma från Georgia och hennes två döttrar loggade in på Facebook från mobiltelefoner förra helgen och hamnade på en häpnadsväckande plats: främlingars konton med full tillgång till mängder av privat information. Felet — resultatet av ett routingproblem vid familys trådlösa operatör, AT&T — avslöjade ett lite känt säkerhetsbrist med långtgående konsekvenser för alla på Internet, inte bara Facebook-användare.
I båda fallen tappade Internet koll på vem som var vem, vilket satte kvinnorna på fel konton. Det verkar inte som att användarna kunde ha gjort något för att stoppa det. Problemet ger en dimension till forskarnas varningar om att det finns många sätt online-information – från vardagliga data till mörka hemligheter – kan gå snett.
Rekommenderade videor
Flera säkerhetsexperter sa att de inte hade hört talas om ett fall som detta, där fel person visades en webbsida vars användarnamn och lösenord hade angetts av någon annan. Det är inte klart om sådana episoder är sällsynta eller helt enkelt inte rapporterade. Men experter sa att sådana brister kan uppstå på e-posttjänster, till exempel, och att något liknande kan hända på en PC, inte bara en telefon.
Relaterad
- Hur man skapar flera profiler för ditt Facebook-konto
- Vad är en Facebook-pixel? Metas spårningsverktyg, förklarat
- Facebooks nya kontroller erbjuder mer anpassning av ditt flöde
"Det faktum att det hände är ett bevis på att det potentiellt kan hända igen och med något mycket mer viktigare än Facebook”, säger Nathan Hamiel, grundare av Hexagon Security Group, en forskning organisation.
Candace Sawyer, 26, säger att hon omedelbart misstänkte att något var fel när hon försökte besöka hennes Facebook-sida lördag morgon.
Efter att ha skrivit Facebook.com till sin Nokia-smarttelefon, togs hon in på webbplatsen utan att bli tillfrågad om sitt användarnamn eller lösenord. Hon var på ett konto som inte såg ut som hennes. Hon hade färre vänförfrågningar än hon mindes. Sedan hittade hon en bild på sidans ägare.
"Han är vit - det är jag inte," sa hon med ett skratt.
Sawyer loggade ut och frågade sin syster, Mari, 31, hennes partner i ett dessertcateringföretag, och deras mamma, Fran, 57, att se om de hade samma problem på sina telefoner. Mari landade på en annan kvinnas sida.
Frans telefon – som aldrig hade använts för att komma åt Facebook tidigare – tog henne in på ännu en främlingssida, en som tillhörde en ung kvinna från Indiana. De skickade ett e-postmeddelande till ett av sina egna konton för att bevisa det. De var förstummade.
"Jag trodde att det var telefonen - "Kanske den här telefonen bara är konstig och gör magiska, hemska saker och jag måste bli av med den", sa Candace Sawyer.
Kvinnorna, som bor tillsammans i East Point, Ga., utanför Atlanta, hade nyligen uppgraderat till samma telefonmodell och använde alla samma operatör, AT&T.
Sawyer kontaktade Associated Press efter att ha rapporterat problemet till Facebook och AT&T. Problemet låg inte i telefonerna. Det var ett fel i infrastrukturen som kopplade telefonerna till Internet. Det belyser ett allvarligt problem.
Webbplatser och datorer äventyras i allmänhet inifrån. En hackare kan få en webbsida eller datorer att köra programmeringskod som de inte borde. Men i det här fallet var det ett säkerhetsgap mellan telefonen och webbplatsen som exponerade främlingars Facebook-sidor för Sawyers. Felkonfigurerad utrustning, dåligt skriven nätverksprogramvara eller andra tekniska fel kunde ha fått AT&T att fumla informationen som flödar från Sawyers telefoner till Facebook och tillbaka.
Lyckligtvis, sa Hamiel, skulle sårbarheten vara till begränsad nytta för en hackare som är intresserad av att få till stånd omfattande kaos, eftersom detta hål skulle ge honom tillgång till endast ett konto åt gången. För att göra mer skada skulle brottslingen behöva utföra den osannolika bedriften att få full kontroll över utrustningen som dirigerar internettrafik till enskilda användare.
AT&T talesman Michael Coe sa att dess trådlösa kunder har landat på fel Facebook-sidor i "ett begränsat antal fall" och att ett nätverksproblem bakom dessa avsnitt håller på att fixas.
The Sawyers upplevde ett annat fel. Coe sa att en utredning pekar på en "felriktad cookie". En cookie är en fil som vissa webbplatser placerar på datorer för att lagra identifierande information - inklusive användarnamnet som Facebook-medlemmar skulle ange för att komma åt sina sidor. Coe sa att tekniker inte kunde ta reda på hur kakan hade dirigerats till fel telefon, vilket ledde till fel Facebook-konto.
Han sa också att AT&T bara kunde bekräfta att problemet uppstod på en av Sawyers telefoner, möjligen för att de hade loggat ut Facebook på de andra två innan de rapporterade händelsen. Facebook avböjde att kommentera och hänvisade frågor till AT&T.
Vissa webbplatser skulle vara immuna mot denna typ av sammanblandning, särskilt de som använder kryptering. En webbläsare skulle ha problem med att dechiffrera krypteringen på en sida som en datoranvändare faktiskt inte letade efter, säger Chris Wysopal, medgrundare av Veracode Inc., ett säkerhetsföretag.
Känsliga webbplatser och de som används för bank och e-handel använder i allmänhet kryptering. Men de flesta andra webbplatser, inklusive vissa webbaserade e-posttjänster, använder det inte. Ett sätt att kontrollera: Webbadresserna till krypterade webbplatser börjar med "https" snarare än "http." Facebook använder kryptering när användarnamn och lösenord skrivs in för att dölja inloggningen från snoops, men efter att användaruppgifterna har angetts är krypteringen tappade.
Det är oklart hur många människor som påverkades av problemet som Sawyers upptäckte, och om det var begränsat till Facebook.
Anledningen till att alla tre kvinnor upplevde felet är en funktion av hur cellulära nätverk är utformade. I vissa fall dirigeras all mobil Internettrafik för ett visst område genom samma nätverksutrustning. Om den utrustningen inte beter sig eller är felaktigt inställd, händer konstiga saker när datorer längre fram tar emot data.
Vanligtvis betyder det att en webbplats helt enkelt inte kommer att laddas, säger Alberto Solino, chef för säkerhetskonsulttjänster för Core Security Technologies. I Sawyers fall, "på något sätt fick de fel användare men de kunde fortsätta använda det kontot under en lång tid. Det är det som är konstigt, säger han.
AP försökte få kontakt med två av personerna vars Facebook-sidor exponerades till Sawyers, men samtalen och e-postmeddelandena returnerades inte. Det är oklart om de också är AT&T-kunder, även om säkerhetsexperter sa att det sannolikt är fallet.
Det var faktiskt fallet i en liknande incident i november. Stephen Simburg, 25, som arbetar med marknadsföring, var hemma för Thanksgiving i Vancouver, Washington, när han loggade in på Facebook från sin mobiltelefon. Han kände inte igen personerna som hade skrivit meddelanden till honom.
"Jag trodde att jag hade blivit riktigt populär helt plötsligt, eller så var något fel", sa han. Sedan såg han bilden på kontoägaren: En ung kvinna. Han fick hennes e-postadress från sajten, loggade ut och skrev ett meddelande till kvinnan. Han frågade om han hade träffat henne någon gång och hon hade lånat hans telefon för att kolla sitt Facebook-konto.
"Nej", skrev hon tillbaka, "men jag berättade bara för min familj att jag hamnade i din profil!"
Simburg och kvinnan kom på att de båda använde AT&T för att komma åt Facebook på sina telefoner. (AT&T hade inga kommentarer eftersom händelsen inte rapporterades till företaget.)
"Jag kände att jag hade blivit sviken av telefonbolaget och Facebook", sa han. Han säger att han har lagt händelsen bakom sig. Men en bit återstår: Han och den unga kvinnan är nu Facebookvänner.
Redaktörens rekommendationer
- Hur du ställer in ditt Facebook-flöde för att visa de senaste inläggen
- Reels är på väg att dyka upp i ännu en Facebook-funktion
- Meta hittade över 400 mobilappar "designade för att stjäla" Facebook-inloggningar
- När är bästa tiden att göra ett inlägg på Facebook?
- Du kan nu använda Add Yours-dekalen på Reels för Facebook och Instagram
