Joakim Melin

Du kan aldrig lita på Facebook

3 Oct 2018

Om du är medlem på Facebook, vilket jag inte varit sedan i maj i år av anledningar som snart ska bli uppenbara,
så får du säkert mail då och då med information om att någon som du är “vän” med postat en ny bild eller att någon aktivitet. En person i min familj har bett mig att hålla koll på vad denne får via sin e-post emellanåt. Personen är inte särskilt
datorvan och blir då och då utsatt för olika former av försök till bedrägerier, så när jag såg via ett notiferingsmail att personen i fråga blivit taggad i en bild så reagerade jag, mycket beroende på att jag vet att personen i min närhet inte känner personen som satt taggen.

Jag blockerar alla såna typer av mail till personen i min närhet i mitt spamfilter så jag kan gå in och titta på innehållet i mailet. Innehållet i mailet är givetvis sminkat med diverse HTML men kikar man på koden till det så innehåller det ett antal HTML-länkar till Facebook, den ena går direkt till postningen där bilden finns och den andra går till en inloggning hos Facebook. Inga konstigheter, eller hur?

Problemet är bara att om man klickar på länken för att titta på bilden så loggas man in på personens konto, utan att behöva ange varesig inloggningsnamn, e-postadress eller lösenord. Jag har verifierat detta dels på en dator som jag använt i flera år men också på en dator som jag installerade häromdagen, där personen i min närhet aldrig har haft en möjlighet att logga in. Eftersom min gamla dator kör macOS och min nyinstallerade dator kör Linux finns ingen som helst lösenordssynkronisering mellan de två så det finns ingen som helst möjlighet att jag har kommit in via ett lösenord som lagrats någonstans.

Väl inloggad på personens Facebook-konto kan jag sedan klicka runt, läsa meddelanden (både privata och publika), skicka privata meddelanden och och titta på inställningar. Kan man ändra personens lösenord hos Facebook? Jag har inte testat, och jag tänker inte göra det heller – att komma in på det här sättet är allvarligt nog. Jag har med en annan familjemedlems välsignelse testat samma sak med samma typ av e-postnotifieringar som denne också fått från Facebook och det fungerar även med den personens konto.

Är du det minsta rädd om din personliga säkerhet och envisas med att fortsätta använda Facebook är det min kraftfullaste rekommendation att du slår av alla former av e-postnotifieringar för ditt Facebook-konto. Det är inte svårt att hacka sig in i någons e-post och via den vägen komma åt den här typen av meddelanden.

Det värsta av allt? Facebook har varnades om detta redan för två år sedan.

Jag har givetvis ändå varit en duktig nätanvändare och rapporterat detta till Facebooks säkerhetsteam men har inte fått någon som helst respons varför jag anser att det är fritt fram att publicera detta.