新浪科技讯 北京时间11月5日晚间消息,据国外媒体今日报道,一名名为依沃·沙普(Yvo Schaap)的Facebook开发者发现了位于Facebook和MySpace网站的一个严重安全漏洞,黑客可以利用该漏洞窃取用户帐户的所有数据,包括用户的照片和个人消息等。
沙普已找到了利用该漏洞的方式,并与Facebook和MySpace进行联系。他在博客中表示,MySpace已经解决了这一漏洞。而Facebook也被证实解决了该漏洞。
沙普在博客中表示,这一漏洞与网站的“自动登录”功能相关,可以通过Flash文件中的Cookie和链接被利用。例如,被攻击页面将自动出现 “发表更新”的字样,这将诱使用户好友点击,从而导致用户好友也受到攻击。而一种更严重、更隐蔽的攻击方式可以把所有用户的私人照片、数据和消息都发送到一个服务器中,而不留下任何痕迹。沙普认为,这样的攻击随时可能发生。
换句话说,如果用户在Facebook或MySpace网站上点击“记住我的帐号”按钮,并曾使用过存在与该漏洞相关恶意代码的Flash应用,那么用户的所有数据都可能泄露。这样的攻击方式甚至不需要用户打开任何页面。以Facebook为例,如果一个被感染条目出现在用户的消息流中,那么用户的所有数据都可能被窃取,而用户对此将一无所知。
对于这一漏洞,Facebook在声明中称:“用户安全是Facebook最优先考虑的问题。我们已经与确定这一问题的研究人员合作,解决了该问题。我们尚未接到任何有关该漏洞被利用的报告。”
不过沙普明确表示,用户和Facebook实际上都无法知道数据是否泄露。到目前为止,该漏洞有可能被许多开发者利用了数个月甚至更长时间。而 Facebook正在确认该漏洞存在的时间。沙普是第一个揭露该漏洞的开发者。不过,该漏洞的潜在意义重大,允许开发者获取任何使用他们所开发应用的用户的所有数据,一些居心不良的开发者很可能借此牟利。Facebook此前表示,该网站平台的开发者人数已达到30万,而多个案例表明,一些开发者并不反对黑客行为。
这对Facebook和MySpace来说都不是好消息。Facebook此前被认为安全性更好,因为该网站提供更复杂的隐私设置和身份验证功能。然而,Facebook近期多次出现安全问题,最新漏洞表明Facebook的安全问题并没有明显好转。Facebook目前已不再是大学生联系的工具,用户在其上存储的一些照片和信息非常敏感,而一些记者也通过Facebook与他们的消息人士联系。在这种情况下,网络安全更显得重要。