Facebookissa jättiaukko – kaikki tiedot olivat urkittavissa.Facebook- ja MySpace-yhteisöpalveluista on löytynyt vakava tietoturva-aukko, jonka kautta ulkopuoliset saattoivat lukea kaikkia käyttäjän tietoja ja esimerkiksi lähettää viestejä käyttäjän nimissä.
MySpace korjasi aukon ensimmäisenä, ja Facebook seurasi tänään perässä. Aukon löysi alankomaalainen Facebook-sovellusten kehittäjä Yvo Schaap.
Flash vuotaa, kun sen annetaan Turva-aukkoa käytettiin hyväksi Flash-tekniikalla. Jos käyttäjä oli kirjautunut Facebookiin ja hän avasi sopivasti koodatun Flash-sovelluksen, saattoi se lukea ja kirjoittaa käyttäjän Facebook-tietoja miten haluaa. Sovelluksen ei tarvinnut sijaita Facebookin sivuilla.
Flash-sovellukset eivät tavallisesti voi ottaa yhteyttä vieraille palvelimille. Jos palvelimen omistaja kuitenkin haluaa sallia yhteyden, voi sen tehdä crossdomain.xml-asetustiedostolla, jossa kerrotaan mistä yhteyden saa ottaa ja mitä tietoja voi käyttää.
Ongelmana oli, että Facebookista löytyi asetustiedosto, joka salli täydet oikeudet mistä tahansa peräisin oleville sovelluksille. Sovellus saattoi lukea käyttäjän kirjautumistiedot ja tämän jälkeen ohjata Facebookia kuin käyttäjä itse.
Flashissa itsessään ei ollut vikaa, vaan aukko oli seurausta Facebookin lepsuilusta tietoturva-asetuksissa. Samanlaisia aukkoja saattaa olla muissakin palveluissa, eikä niiltä voi suojautua kokonaan muuten kuin luopumalla Flashista. Palveluista ulos kirjautuminen käytön jälkeen kuitenkin vähentää riskiä.
http://www.tietoviikko.fi/kehittaja/article344686.ece
