Utvecklare hittar stora kodningsfel i Facebook, MySpace

Sociala nätverkssajter MySpace och Facebook har tydligen fastställt kodfel som kunde ha gjort det möjligt för en angripare att få tillgång till alla användares data och foton.

De enkla kodfel är alarmerande med tanke på omfattningen t

o vilka sociala nätverk har gått för att försäkra sina användare om att deras data kommer att vara säkra. Problemet innebar hur dessa webbplatser hanterar begäran om data från andra domäner, känd som "cross-domain policy".

Webbplatser som MySpace och Facebook blockerar vanligtvis andra domäner från att begära och ta emot data av privatlivets skull, förutom deras

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Facebook tillåter inte åtkomst från andra program på huvuddomänen, men en utvecklare i Nederländerna, Yvo Schaap, fann att Facebook skulle tillåta data att delas ut från en av dess underdomäner. Eftersom underdomänen också är värd för alla Facebook-data skulle det vara möjligt att stjäla data genom att locka ett offer till en webbadress med en Flash-applikation som är riggerad för att ta tag i uppgifterna om offret hade

Ett "mer invasivt och dolt utnyttjande kan skörda all användarens personliga foton, data och meddelanden till en central server utan spår, och det finns ingen anledning att göra. varför detta skulle inte hända redan med både Facebook och MySpace-data, "skrev Schaap på sin blogg.

Han hittade också problemet på MySpace, vilket gjorde det möjligt för en domän som heter" farm.sproutbuilder.com "för att få tillgång till data. En Flash-applikation kan laddas upp till den webbplatsen, som då skulle få tillgång till data om ett offer besökte en skadlig webbadress.

En titt på Facebook: s senaste crossdomain.xml-fil visar att felet verkar fixat. MySpace tycks också ha tagit "farm.sproutbuilder.com" ur listan över korsdomäner.

"Inga privata MySpace-data exponerades och sårbarheten exploaterades aldrig", läsningen läste.