發表時間: 2009-11-09 10:04:48作者:
風靡全球的社交網站Facebook傳出有重大安全漏洞,媒體報導,該網站一名應用程式開發人員Yvo Schaap表示,目前官方已經緊急修補該安全漏洞,但是不排除已被駭客入侵取得使用者的個資、照片以及所有發布在社交網路上資料的可能性。
Yvo Schaap在個人部落格文章中寫到,Facebook及MySpace都含有重大安全漏洞。
Schaap解釋,由於Facebook允許任何flash應用程式存取子網域的資料,且該子網域儲存所有Facebook的資產,包括Facebook用戶程序及所有使用者資料,因此,如果使用者是採用自動登入Facebook的模式,就能透過用戶程序看到使用者的全名,同時還可以竊用使用者的憑證登入Facebook,由於絕大多數的使用者都是採用自動登入的功能,因此被竊取資料的風險極高,此外,由MSN所提供的社群網站MySpace也有類似的漏洞。
Schaap表示,該安全漏洞讓駭客有機可乘,只要使用者的瀏覽器自動載入cookie及一個含有惡意Flash檔案的URL,帳戶再次自動登錄並且更新資訊時,惡意代碼和病毒就會自動透過代為張貼使用者訊息,散佈給好友,而使用者將不會察覺任何異樣,伺服器也不會留下任何痕跡。
Yvo Schaap的公開發言無疑是給兩大網站的安全管理當頭棒喝,雖然Facebook及MySpace迅速修補此漏洞,但是過去兩個網站已經被網友多次抓出安全漏洞。Schaap質疑,應該已有其他開發人員已經發現此一漏洞,只是沒有對外公布,這也意味著使用者的資料可能早就外泄了。
Yvo Schaap在個人部落格文章中寫到,Facebook及MySpace都含有重大安全漏洞。
Schaap解釋,由於Facebook允許任何flash應用程式存取子網域的資料,且該子網域儲存所有Facebook的資產,包括Facebook用戶程序及所有使用者資料,因此,如果使用者是採用自動登入Facebook的模式,就能透過用戶程序看到使用者的全名,同時還可以竊用使用者的憑證登入Facebook,由於絕大多數的使用者都是採用自動登入的功能,因此被竊取資料的風險極高,此外,由MSN所提供的社群網站MySpace也有類似的漏洞。
Schaap表示,該安全漏洞讓駭客有機可乘,只要使用者的瀏覽器自動載入cookie及一個含有惡意Flash檔案的URL,帳戶再次自動登錄並且更新資訊時,惡意代碼和病毒就會自動透過代為張貼使用者訊息,散佈給好友,而使用者將不會察覺任何異樣,伺服器也不會留下任何痕跡。
Yvo Schaap的公開發言無疑是給兩大網站的安全管理當頭棒喝,雖然Facebook及MySpace迅速修補此漏洞,但是過去兩個網站已經被網友多次抓出安全漏洞。Schaap質疑,應該已有其他開發人員已經發現此一漏洞,只是沒有對外公布,這也意味著使用者的資料可能早就外泄了。