Kehittäjä löytää tärkeät koodausvirheet Facebookissa, MySpace

Sosiaalisen verkostoitumisen sivustot MySpace ja Facebook ovat ilmeisesti kiinteitä koodausvirheitä, jotka voisivat sallia hyökkääjän pääsyn kaikkiin käyttäjien tietoihin ja valokuviin.

Yksinkertaiset koodausvirheet ovat hälyttävää, kun otetaan huomioon laajuus t

o mitä sosiaalisia verkostoja on onnistuttu varmistamaan, että heidän tietonsa ovat turvallisia. Ongelmana on se, miten nämä sivustot käsittelevät muilta verkkotunnuksilta pyydettyjä pyyntöjä, joita kutsutaan "verkkotunnuksille."

MySpacein ja Facebookin sivustot estävät yleensä muita verkkotunnuksia pyytämästä ja vastaanottamasta tietoja tietosuojasyistä paitsi niiden

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Facebook ei hyväksynyt käyttöoikeuksia muilta sovelluksilta sen päätoimialueelta, mutta Hollannin kehittäjä Yvo Schaap totesi, että Facebook sallisi tietojen joka on luovutettu yhdestä sen aliverkkotunnuksesta.

Koska aliverkkotunnus isännöi kaikki Facebookin tiedot, olisi mahdollista varastaa tietoja pyytämällä uhri URL: lle Flash-sovelluksella, joka on kiinnitetty tarttumaan tietoihin, jos uhri niiden useimmat ihmiset tekevät Schaapin blogin mukaan.

"Invasiivisempi ja piilotettu hyödyntäminen voi kerätä kaikki käyttäjän henkilökohtaiset valokuvat, tiedot ja viestit keskitetyylle palvelimelle ilman jälkiä, eikä ole mitään syytä miksi tämä ei tapahdu jo Facebook- ja MySpace-tietojen kanssa, "Schaap kirjoitti blogissaan.

Hän löysi myös MySpace-ongelman, joka mahdollisti tietojen käsittelemisen verkkotunnuksella" farm.sproutbuilder.com ". Flash-sovellus voidaan ladata kyseiselle sivustolle, jonka jälkeen sallitaan pääsy tietoihin, jos uhri vieraili haitallisella URL-osoitteella.

Katsauksessa Facebookin uusin crossdomain.xml-tiedosto näyttää, että virhe näyttäisi olevan korjattu. MySpace näyttää myös ottaneen "farm.sproutbuilder.com" verkkotunnuksen luettelosta.

"Yksittäisiä MySpace-tietoja ei paljastettu ja haavoittuvuutta ei koskaan käytetty."