Udvikler finder store kodningsfejl i Facebook, MySpace

Social networking sites MySpace og Facebook har tilsyneladende fastslået kodningsfejl, der kunne have tilladt en hacker adgang til alle deres brugeres data og fotos.

De enkle kodningsfejl er alarmerende i betragtning af omfanget af t

hvilke sociale netværk er gået for at forsikre deres brugere om, at deres data vil være sikre. Problemet involverede, hvordan disse websteder håndterer anmodninger om data fra andre domæner, kendt som "cross-domain policy".

Sites som MySpace og Facebook blokkerer typisk andre domæner fra at anmode om og modtage data af personlige årsager, bortset fra deres

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Facebook tillader ikke adgang fra andre applikationer på sit hoveddomæne, men en udvikler i Holland, Yvo Schaap, fandt, at Facebook ville tillade data at blive givet ud fra en af ​​dens underdomæner.

Da underdomænet også var vært for alle Facebooks data, ville det være muligt at stjæle data ved at lokke et offer til en URL med en Flash-applikation rigget til at gribe dataene, hvis offeret havde som de fleste mennesker gør, ifølge Schaaps blog.

En "mere invasiv og skjult udnyttelse kunne høste alle brugerens personlige fotos, data og meddelelser til en central server uden spor, og der er ingen grund hvorfor dette ville ikke ske allerede med både Facebook og MySpace-data, "skrev Schaap på sin blog.

Han fandt også problemet på MySpace, hvilket tillod et domæne kaldet" farm.sproutbuilder.com "for at få adgang til data. En Flash-applikation kunne uploades til dette websted, som derefter ville få adgang til dataene, hvis et offer besøgte en ondsindet webadresse.

Et kig på Facebooks seneste crossdomain.xml-fil viser, at fejlen synes at være blevet rettet. MySpace ser også ud til at have taget "farm.sproutbuilder.com" ud af sin liste over tværgående domæner.

"Ingen private MySpace-data blev udsat, og sårbarheden blev aldrig udnyttet," læses udsagnet.