风靡全球的社交网站Facebook传出有重大安全漏洞,媒体报导,该网站一名应用程式开发人员Yvo Schaap表示,目前官方已经紧急修补该安全漏洞,但是不排除已被骇客入侵取得使用者的个资、照片以及所有发布在社交网路上资料的可能性。
Yvo Schaap在个人部落格文章中写到,Facebook及MySpace都含有重大安全漏洞。
Schaap解释,由于Facebook允许任何flash应用程式存取子网域的资料,且该子网域储存所有Facebook的资产,包括Facebook用户程序及所有使用者资料,因此,如果使用者是采用自动登入Facebook的模式,就能透过用户程序看到使用者的全名,同时还可以窃用使用者的凭证登入Facebook,由于绝大多数的使用者都是采用自动登入的功能,因此被窃取资料的风险极高,此外,由MSN所提供的社群网站MySpace也有类似的漏洞。
Schaap表示,该安全漏洞让骇客有机可乘,只要使用者的浏览器自动载入cookie及一个含有恶意Flash档案的URL,帐户再次自动登录并且更新资讯时,恶意代码和病毒就会自动透过代为张贴使用者讯息,散布给好友,而使用者将不会察觉任何异样,伺服器也不会留下任何痕迹。
Yvo Schaap的公开发言无疑是给两大网站的安全管理当头棒喝,虽然Facebook及MySpace迅速修补此漏洞,但是过去两个网站已经被网友多次抓出安全漏洞。Schaap质疑,应该已有其他开发人员已经发现此一漏洞,只是没有对外公布,这也意味着使用者的资料可能早就外泄了。
来源:
Yvo Schaap在个人部落格文章中写到,Facebook及MySpace都含有重大安全漏洞。
Schaap解释,由于Facebook允许任何flash应用程式存取子网域的资料,且该子网域储存所有Facebook的资产,包括Facebook用户程序及所有使用者资料,因此,如果使用者是采用自动登入Facebook的模式,就能透过用户程序看到使用者的全名,同时还可以窃用使用者的凭证登入Facebook,由于绝大多数的使用者都是采用自动登入的功能,因此被窃取资料的风险极高,此外,由MSN所提供的社群网站MySpace也有类似的漏洞。
Schaap表示,该安全漏洞让骇客有机可乘,只要使用者的浏览器自动载入cookie及一个含有恶意Flash档案的URL,帐户再次自动登录并且更新资讯时,恶意代码和病毒就会自动透过代为张贴使用者讯息,散布给好友,而使用者将不会察觉任何异样,伺服器也不会留下任何痕迹。
Yvo Schaap的公开发言无疑是给两大网站的安全管理当头棒喝,虽然Facebook及MySpace迅速修补此漏洞,但是过去两个网站已经被网友多次抓出安全漏洞。Schaap质疑,应该已有其他开发人员已经发现此一漏洞,只是没有对外公布,这也意味着使用者的资料可能早就外泄了。
来源:
- 关键字搜索:
- Fa
看完这篇文章觉得
排序