Schwachstelle in MySpace-Widget für Datendiebstahl missbraucht
MySpace[1] und Yahoo[2] haben einen Fehler in einer Programmierschnittstelle[3] (API) dafür verantwortlich gemacht, dass der kanadische Computertechniker Byron Ng private Bilder aus den MySpace-Profilen von Lindsay Lohan und Paris Hilton stehlen konnte. Laut einem Bericht von Valleywag.com[4] nutzte Ng für seinen Angriff ein MySpace-Widget für die Yahoo Mobile Platform.
In einer gemeinsamen Stellungnahme bestätigten MySpace und Yahoo die von Ng entwickelte Angriffsmethode. "Das Widget wurde deaktiviert. Wir arbeiten bereits an einem Patch, der kurzfristig veröffentlicht wird", erklärten die Unternehmen.
Jeremiah Grossman, CTO von White Hat Security[5], machte nicht die API, sondern das grundlegende Konzept hinter sozialen Netzwerken für den Datenverlust verantwortlich. "Alles, was man auf eine öffentliche Website hochlädt, ist nicht privat, sondern öffentlich. Selbst wenn man glaubt, die Daten seien durch ein Passwort geschützt."
Grossman bezeichnete die unzureichende Abfrage der Berechtigungen eines Nutzers als Ursache für den Vorfall. Seiner Ansicht nach stellt die mangelnde Sicherheit der Autorisation nicht nur ein Problem bei Social-Networking-Sites dar, sondern auch bei vielen anderen Angeboten im Internet.
URLs in diesem Artikel:[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/