Facebook安全有漏洞　网友资料恐外泄

2009-11-09 10:04 风靡全球的社交网站Facebook传出有重大安全漏洞，媒体报导，该网站一名应用程式开发人员Yvo Schaap表示，目前官方已经紧急修补该安全漏洞，但是不排除已被骇客入侵取得使用者的个资、照片以及所有发布在社交网路上资料的可能性。

Yvo Schaap在个人部落格文章中写到，Facebook及MySpace都含有重大安全漏洞。

Schaap解释，由于Facebook允许任何flash应用程式存取子网域的资料，且该子网域储存所有Facebook的资产，包括Facebook用户程序及所有使用者资料，因此，如果使用者是采用自动登入Facebook的模式，就能透过用户程序看到使用者的全名，同时还可以窃用使用者的凭证登入Facebook，由于绝大多数的使用者都是采用自动登入的功能，因此被窃取资料的风险极高，此外，由MSN所提供的社群网站MySpace也有类似的漏洞。

Schaap表示，该安全漏洞让骇客有机可乘，只要使用者的浏览器自动载入cookie及一个含有恶意Flash档案的URL，帐户再次自动登录并且更新资讯时，恶意代码和病毒就会自动透过代为张贴使用者讯息，散布给好友，而使用者将不会察觉任何异样，伺服器也不会留下任何痕迹。

Yvo Schaap的公开发言无疑是给两大网站的安全管理当头棒喝，虽然Facebook及MySpace迅速修补此漏洞，但是过去两个网站已经被网友多次抓出安全漏洞。Schaap质疑，应该已有其他开发人员已经发现此一漏洞，只是没有对外公布，这也意味着使用者的资料可能早就外泄了。