惊!Facebook遭踢爆有安全漏洞 网友资料可能早已外泄?
更新日期:2009/11/09 09:07 记者苏湘云/综合报导
http://tw.news.yahoo.com/article/.../17/1ul3r.html受到数亿人欢迎的Facebook传出,在过去一直存在有一重大安全漏洞!发现此状况的一名应用程式开发人员Yvo Schaap说,虽然官方已经紧急修补该漏洞,但是可能已惊让骇客取得使用者的账户个资、照片以及所有发布在社交网路上的资料。
Yvo Schaap在个人MySpace部落格文章点名Facebook及MySpace含有重大安全漏洞,Schaap指出,Adobe推出crossdomain.xml以让特定网域能够存取其他网域的资料,在Facebook则不然,即使透过crossdomain.xml,仍旧禁止非Facbook网域的Flash程式存取主要网域资料;可是Facebook却允许任何flash应用程式存取子网域的资料,而该子网域竟然储存所有Facebook的资产,包括Facebook用户程序。
Schaap表示,这也就是说,如果使用者是采用自动登入Facebook的模式,就能透过在用户程序看到使用者的全名,还可利用使用者的凭证执行Facebook上的功能;而更严重的状况是出在,大多数的Facebook用户都启动自动登入功能。此外,MySpace也有类似的漏洞。
因此,骇客很容易利用此漏洞,让浏览器自动载入cookie及一个含有恶意Flash档案的URL,此用户会在不知情的情况下,帐户再次自动登录,而当用户处理自动更新的时候,恶意代码和病毒就会自动透过代为张贴使用者讯息,散布给好友,同时,骇客在窃取资料时,不会在伺服器留下任何痕迹。
Yvo Schaap的发现对Facebook和MySpace是一个严重的打击,虽然Facebook及MySpace迅速修补此漏洞,但是由于这两个网站曾经多次被发现存在严重的安全问题,Schaap与外就普遍认为,应该已有其他开发人员已经发现此一漏洞,只是一直未被揭发而已,而使用者的资料可能早就外泄了。
