Op zijn blog zet de Nederlander het privacylek uiteen. Kwaadwillenden zouden volgens hem een Flash-exploit viraal kunnen rondsturen zonder medeweten van de profiel-eigenaren. In het geval van Facebook hoeft de Flash-applicatie niet eens geopend te worden, maar alleen te verschijnen in het nieuwsoverzicht om toegang te geven tot de persoonlijke profieldata.

Het probleem zit volgens Schaap in crossdomain.xml, dat bepaalt welke websites via Flash toegang krijgen tot de content van Facebook en MySpace. Schaap merkte dat je met een simpele wijziging in crossdomain.xml alle domeinen toegang kunnen krijgen tot de afgeschermde data van de sociale netwerken. "Een enorm probleem dat volledige toegang en controle geeft over profielen van gebruikers die auto-login hebben aangezet, en wie doet dat niet?", blogt Schaap.

T-shirt als bedankje

Schaap vertelt Webwereld dat hij op 13 oktober het lek gemeld heeft aan beide sociale netwerken. "Bij MySpace heb ik voor de zekerheid ook de Chief Security Officer via Myspace een bericht gestuurd. Zodoende heeft Myspace dit binnen enkele uren opgelost." Als bedankje belooft Myspace Schaap een t-shirt op te sturen.

"Van Facebook kreeg ik geen reactie, en ben ik uiteindelijk het gisteravond [woensdag, red.] op mijn blog gaan posten. Voor de zekerheid had ik snel de exacte subdomein weggehaald om misbruik te voorkomen. Binnen enkele uren kreeg ik een email van een Facebook-medewerker nadat het bericht op reddit.com verscheen. Uiteindelijk was het lek binnen enkele uren gesloten (vanmorgen)."

Facebook laat aan TechCrunch weten dat volgens hen het lek niet is uitgebuit.