Dezvoltatorul găsește erori majore de codificare pe Facebook, MySpace

Site-urile de social networking MySpace și Facebook au aparent erori de codare care ar fi permis accesul unui atacator la toate datele și fotografiile utilizatorilor lor.

Eroarea simplă de codare este alarmantă având în vedere măsura în care t

despre care rețelele sociale au mers pentru a-și reasigura utilizatorii că datele lor vor fi sigure. Problema a implicat modul în care aceste site-uri gestionează solicitările de date din alte domenii, cunoscute sub numele de "politică de domenii intermediare".

Site-urile precum MySpace și Facebook blochează de obicei alte domenii de a solicita și primi date din motive de confidențialitate, Facebook a interzis accesul altor aplicații din domeniul său principal, însă un dezvoltator din Olanda, Yvo Schaap, a constatat că Facebook ar permite accesul la date pentru a fi scos din unul din subdomeniile sale.

Deoarece subdomeniul a găzduit de asemenea toate datele Facebook, ar fi posibil să furați datele prin atragerea unei victime într-o adresă URL cu o aplicație Flash înzestrată pentru a prinde datele dacă victima pentru a le permite să se autentifice automat, ceea ce majoritatea oamenilor fac, potrivit blogului lui Schaap.

Un "exploatare mai invazivă și ascunsă ar putea recolta toate fotografiile, datele și mesajele personale ale utilizatorilor către un server central fără urme și nu există nici un motiv de ce asta nu s-ar întâmpla deja atât cu datele Facebook cât și cu MySpace ", a scris Schaap pe blogul său.

De asemenea, a găsit problema pe MySpace, care a permis accesul la un domeniu numit" farm.sproutbuilder.com ". O aplicație Flash ar putea fi încărcată pe site-ul respectiv, care va avea acces la date în cazul în care o victimă a vizitat o adresă URL periculoasă.

O privire la ultimul fișier crossdomain.xml din Facebook arată că eroarea pare să fi fost rezolvată. MySpace, de asemenea, pare să fi luat "farm.sproutbuilder.com" din lista sa de domenii interdisciplinare

"Nu au fost expuse date private MySpace și vulnerabilitatea nu a fost niciodată exploatată", afirmația citește