驚！Facebook遭踢爆有安全漏洞　網友資料可能早已外洩？

驚！Facebook遭踢爆有安全漏洞　網友資料可能早已外洩？

受到數億人歡迎的Facebook傳出，在過去一直存在有一重大安全漏洞！發現此狀況的一名應用程式開發人員Yvo Schaap說，雖然官方已經緊急修補該漏洞，但是可能已驚讓駭客取得使用者的賬戶個資、照片以及所有發佈在社交網路上的資料。

Yvo Schaap在個人MySpace部落格文 章點名Facebook及MySpace含有重大安全漏洞，Schaap指出，Adobe推出crossdomain.xml以讓特定網域能夠存取其他網域的資料，在Facebook則不然，即使透過crossdomain.xml，仍舊禁止非Facbook網域的Flash程式存取主要網域資料；可是 Facebook卻允許任何flash應用程式存取子網域的資料，而該子網域竟然儲存所有Facebook的資產，包括Facebook用戶程序。

Schaap 表示，這也就是說，如果使用者是採用自動登入Facebook的模式，就能透過在用戶程序看到使用者的全名，還可利用使用者的憑證執行Facebook上 的功能；而更嚴重的狀況是出在，大多數的Facebook用戶都啟動自動登入功能。此外，MySpace也有類似的漏洞。

因此，駭客很容易 利用此漏洞，讓瀏覽器自動載入cookie及一個含有惡意Flash檔案的URL，此用戶會在不知情的情況下，帳戶再次自動登錄，而當用戶處理自動更新的 時候，惡意代碼和病毒就會自動透過代為張貼使用者訊息，散佈給好友，同時，駭客在竊取資料時，不會在伺服器留下任何痕跡。

Yvo Schaap的發現對Facebook和MySpace是一個嚴重的打擊，雖然Facebook及MySpace迅速修補此漏洞，但是由於這兩個網站曾經 多次被發現存在嚴重的安全問題，Schaap與外就普遍認為，應該已有其他開發人員已經發現此一漏洞，只是一直未被揭發而已，而使用者的資料可能早就外洩 了。

【今日新聞2009.11.09　蘇湘雲/綜合報導】