這個並不是隨便一個 ack 就能解決. 猜中的機率低到可以忽略.
通常 ip spoofing 只用在 LAN 或用在 WAN 的 DoS 攻擊, 似乎沒看過有人提到在 http 上頭使用.
而且... 現在是 https 的年代... 多數會強迫用 https (facebook 應該就是強迫用 https), 沒有由 server 收到東西, 是很難完整的處理加密的作業.

樓主說的事, 的確疑點很多, 如果是真的, 應該只有同事 hacking 進家裡的設備來做, 一起住的人做的, 或收的到 wifi 的附近鄰居剛好又是同事做這幾種可能吧.

至於是不是 "另一個自己", 我覺得可能性也不大, 因為一般這情形, 應該不會做了之後把痕跡也都處理乾淨.