Utvikler finner store kodingsfeil i Facebook, MySpace

Nettsted for sosiale nettverk MySpace og Facebook har tilsynelatende fastsatt kodingsfeil som kunne ha gitt en angriper tilgang til alle brukerens data og bilder.

De enkle kodingsfeilene er alarmerende vurderer omfanget t

hvilke sosiale nettverk har gått for å forsikre brukerne om at deres data vil være trygge. Problemet innebar hvordan disse nettstedene håndterer forespørsler om data fra andre domener, kjent som "cross-domain policy".

Nettsteder som MySpace og Facebook blokkerer vanligvis andre domener fra å be om og motta data av personvernsgrunner, bortsett fra deres

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Facebook tillatelse fra andre applikasjoner på hoveddomenet, men en utvikler i Nederland, Yvo Schaap, fant at Facebook ville tillate data å bli gitt ut fra en av dens underdomener. Siden underdomenet også var vert for alle Facebook-dataene, ville det være mulig å stjele data ved å lokke et offer til en nettadresse med et Flash-program som var rigget for å hente dataene hvis offeret hadde

En "mer invasiv og skjult utnyttelse kan høste alle brukerens personlige bilder, data og meldinger til en sentral server uten spor, og det er ingen grunn til å gjøre det. hvorfor dette ville ikke skje allerede med både Facebook og MySpace-data, skrev Schaap på bloggen sin.

Han fant også problemet på MySpace, som tillot et domene kalt "farm.sproutbuilder.com" for å få tilgang til data. En Flash-applikasjon kan lastes opp til dette nettstedet, som da vil få tilgang til dataene hvis et offer besøkte en ondsinnet nettadresse.

En titt på Facebooks nyeste crossdomain.xml-fil viser at feilen ser ut til å ha blitt løst. MySpace ser ut til å ha tatt "farm.sproutbuilder.com" ut av sin liste over kryssdomener.

"Ingen private MySpace-data ble eksponert, og sårbarheten ble aldri utnyttet," leser setningen.