Facebook przez cztery miesiące narażał swoich użytkowników na ataki malware i kradzież danych - przez cały ten czas nie usunął luki pozwalającej na atak typu cross-site scripting (XSS). Taki atak polega na zamieszczeniu na niezabezpieczonej stronie (na przykład na forum, które pozwala zamieszczać HTML i nie zmienia odpowiednio znaczników) wpisu w postaci skryptu, który wykona przeglądarka każdego użytkownika, który odwiedzi tę stronę.

Dlaczego przeglądarka tak się zachowa? Ponieważ ogólnie przyjęta zasada głosi, że dana strona może poprosić o pobranie/wykonanie dowolnego elementu, który znajduje się na tym samym serwerze (domenie) i działa na tym samym porcie co dana strona. W efekcie jeśli uda się zamieścić na serwerze skrypt i poda żądanie jego wykonania gdzieś w treści strony można narobić bardzo dużo szkód. Na przykład luka w Hotmail pozwoliła na kradzież ciasteczek z zapisanymi danymi potrzebnymi do logowania do Windows Live ID. Inny przypadek to podmiana części serwisu odpowiedzialnego za logowanie do jednego z większych włoskich banków i kradzież danych do logowania.

Dlaczego tego typu ataki są bardzo skuteczne? Ponieważ logowanie, przeglądanie zawartości forum, przesyłanie plików odbywa się na prawdę na żądanej stronie, wszystkie certyfikaty, adresy się zgadzają - zwykły użytkownik nie ma możliwości rozpoznania ataku.

Dlaczego natomiast publikujemy artykuł akurat o facebooku? Ponieważ ich pracownicy byli informowani o tej podatności już w sierpniu i pozostali głusi na ostrzeżenia. Nie wiemy dlaczego narażali swoich użytkowników. Dzięki zorganizowanej akcji i poczuciu obowiązku zaawansowanych użytkowników, którzy przeprowadzili udany atak tego typu na facebook, następnie zawiadomili pracowników firmy oraz portalu the Register, który opublikował opis całej sytuacji, trzy godziny po ukazaniu się artykułu dziura została załatana. W dodatku opisali dokładnie kto jest narażony i jak tymczasowo radzić sobie z tym zagrożeniem. Dobra robota. Pozdrowienia dla kolegów z wysp.