De gebruiker Samy maakte met behulp van javascript een cross-site scripting (xss) worm, waarmee hij andere gebruikers forceerde toegevoegd te worden aan zijn vriendenlijst. Binnen 24 uur heeft Samy zo meer dan 1 miljoen vrienden gemaakt. Samy heeft onderzocht hoe hij html-code kon verwerken in zijn profiel, meldt Betanews. Dat kon tot op zekere hoogte, maar het woord javascript werd gefilterd.

Door gebruik te maken van Internet Explorer, kon hij echter het woord javascript over twee regels verdelen, waardoor het filter het woord over het hoofd zag. Op deze wijze kon Samy code toevoegen aan het css-bestand van MySpace. Samy schreef vervolgens een code die ervoor zorgde dat Samy werd uitgenodigd als vriend. Tevens werd hij direct als 'held' gekwalificeerd, zodat zijn sociale rang stijgt. Door gebruik te maken van xmlhttprequest, hadden slachtoffers niets door, weet Betanews.

1000 per seconde

Dit vond Samy echter niet genoeg. Door de code ook bij andere gebruikers toe te voegen ontstond er een worm. Samy: "Als vijf mensen mijn profiel bekijken heb ik er vijf vrienden bij. Als zij vervolgens elkaars profiel bekijken heb ik er 25 bij." Binnen een dag had hij zo meer dan 1 miljoen vrienden toegevoegd. Aan het eind van de dag kwamen er 1000 per seconde bij. MySpace heeft vervolgens de site offline gehaald en alle code verwijderd.

Samy stelt geen kwade bedoelingen te hebben gehad, maar is wel bang voor een eventuele claim van MySpace-eigenaar News.com. "Ik wilde voornamelijk mensen aan het lachen maken", bagatelliseert Samy.

Tolerantie

Beveiligingsexperts buigen zich inmiddels over de code. Evan Martin van Google bijvoorbeeld, beschrijft de worm op zijn blog.

"Negentig procent van de websites zijn gevoelig voor cross-site scripting zwakheden", stelt Jeremiah Grossman, mede-oprichter van WhiteHat Security. "Dit geval onderstreept wederom het gevaar hiervan." Samy wijt het lek niet specifiek aan MySpace: "MySpace heeft altijd javascript gefilterd. De tolerantie van browsers heeft er voor gezorgd dat ik mijn code alsnog kon toevoegen."