• Tweet

Los sitios sociales MySpace y Facebook al parecer han reparado los errores de codificación que podrían haber permitido acceso a atacantes sobre los datos y fotos de todos sus usuarios .

Los errores de codificación son alarmantes, considerando la medida en que las redes sociales han ido tranquilizando a sus usuarios de que sus datos estarán seguros. El problema implica la forma en la que los sitios manejan las solicitudes de datos de otros dominios, conocida como "cross-domain policy."

Sitios como MySpace y Facebook suelen bloquear a otros dominios en la solicitud y recepción de datos por razones de privacidad, a excepción de sus propios subdominios.

Facebook anuló el acceso de otras aplicaciones en su dominio principal, pero un desarrollador en Netherlands, Yvo Schaap, descubrió que Facebook permitiría que los datos pudieran salir de sus subdominios.

Desde que el subdominio también recibió todos los datos de Facebook, sería posible robar información con el propósito de atraer a la víctima que tuviese su su auto-login activado, a una URL con aplicación Flash para tomar datos, lo que la mayoría de la gente hace, de acuerdo con el blog de Schaap.

"De modo invasivo y oculto, podría recolectar todas las fotos personales del usuario, datos y mensajes hacia un servidor central sin dejar rastro, y no hay razón para que esto no estuviera sucediendo ya con Facebook y MySpace", escribió Schaap en su blog.

También descubrió el problema en MySpace, lo que permitió a un dominio llamado "farm.sproutbuilder.com" el acceso a la información. Una aplicación Flash puede ser cargada de ese sitio, que luego permitirá el acceso a los datos si una víctima visita una URL maliciosa.

Una mirada al archivo crossdomain.xml de Facebook, muestra que el error parece haber sido arreglado. MySpace también parece haber tomado "farm.sproutbuilder.com" fuera de su lista de dominios.

Facebook y MySpace no pudieron ser contactados para hacer comentarios.

Por Jeremy Kirk

Traducción Miriam Valdés