سمح عيب المكون الإضافي لـ LinkedIn AutoFill للمتسللين بتسريب البيانات الشخصية

منوعاتDec 19, 2021
click fraud protection

قد يكون المكون الإضافي لـ LinkedIn AutoFill قد كشف بيانات ملف تعريف المستخدم للمتسللين

قد يكون المكون الإضافي للملء التلقائي في LinkedIn قد تسرب البيانات

فضيحة أمن بيانات فيسبوك[1] يتم حاليًا وضعك في الظل بسبب عيب الملء التلقائي في LinkedIn ، والذي من المحتمل أن يعرض معلومات المستخدمين الشخصية إلى مواقع ويب تابعة لجهات خارجية.

LinkedIn ، وهي شبكة اجتماعية من المتخصصين الذين ينتمون إلى Microsoft منذ عام 2016 ، تم النظر فيها كواحدة من أكثر الشبكات الاجتماعية احترافًا على الويب ولا تخرج عن بدايتها غرض. ومع ذلك ، لم ينجح في التهرب من فضيحة خرق البيانات. في 9 أبريل 2018 كشف الباحث جاك كيبل[2] عيب فادح في مكوّن الملء التلقائي الإضافي في LinkedIn.

يُطلق على الخلل اسم البرمجة النصية عبر المواقع (XSS) ، وقد يكشف الخلل المعلومات الأساسية من الملفات الشخصية لأعضاء LinkedIn ، مثل الاسم الكامل وعنوان البريد الإلكتروني والموقع والمنصب وما إلى ذلك. لأطراف غير جديرة بالثقة. يمكن لمواقع الجهات الخارجية المعتمدة والمضمنة في القائمة البيضاء لـ LinkedIn أن تجعل "الملء التلقائي مع LinkedIn" غير مرئي ، مما يجعل أعضاء LinkedIn يملؤون بياناتهم تلقائيًا من ملف التعريف عن طريق النقر في أي مكان على البريد العشوائي موقع الكتروني.

يسمح عيب البرمجة عبر المواقع للمتسللين بتعديل طريقة عرض موقع الويب

البرمجة النصية عبر المواقع أو XSS[3] هي ثغرة أمنية واسعة الانتشار يمكن أن تؤثر على أي تطبيق على الويب. يتم استغلال الخلل من قبل المتسللين بطريقة تمكنهم من حقن المحتوى بسهولة في موقع ويب وتعديل طريقة عرض العرض الحالية الخاصة به.

في حالة وجود عيب في LinkedIn ، تمكن المتسللون من استغلال مكون إضافي للملء التلقائي مستخدم على نطاق واسع. هذا الأخير يسمح للمستخدمين بملء النماذج بسرعة. LinkedIn لديه مجال مدرج في القائمة البيضاء لاستخدام هذه الوظيفة (أكثر من 10000 مدرج في أفضل 10000 المواقع التي صنفتها Alexa) ، مما يسمح للأطراف الثالثة المعتمدة فقط بملء المعلومات الأساسية من الملف الشخصي.

ومع ذلك ، فإن خطأ XSS يسمح للمتسللين بعرض المكون الإضافي على موقع الويب بأكمله الذي يصنع ملف "الملء التلقائي مع LinkedIn" زر[4] غير مرئى. وبالتالي ، إذا فتح مستخدم إنترنت متصل بـ LinkedIn موقع ويب متأثرًا بعيب XSS ، فانقر فوق ملف فارغ أو أي محتوى موضوع على مثل هذا المجال ، يكشف عن غير قصد المعلومات الشخصية كما لو كان النقر تشغيل "الملء التلقائي مع LinkedIn" زر.

نتيجة لذلك ، يمكن لمالك موقع الويب استرداد الاسم الكامل ، ورقم الهاتف ، والموقع ، وعنوان البريد الإلكتروني ، والرمز البريدي ، والشركة ، والوظيفة التي يشغلها ، والخبرة ، وما إلى ذلك. دون طلب إذن الزائر. كما أوضح جاك كابل ،

هذا لأن زر الملء التلقائي يمكن أن يكون غير مرئي ويمتد على الصفحة بأكملها ، مما يتسبب في قيام المستخدم بالنقر فوق أي مكان لإرسال معلومات المستخدم إلى موقع الويب.

تم بالفعل إصدار تصحيح لخطأ التدوين الآلي في 10 أبريل

عند التأسيس ، اتصل جاك كابل ، الباحث الذي اكتشف الخلل ، بـ LinkedIn وأبلغ عن ثغرة أمنية في XSS. رداً على ذلك ، أصدرت الشركة تصحيحًا في 10 أبريل وقيدت عددًا صغيرًا من المواقع الإلكترونية المعتمدة.

ومع ذلك ، لم يتم تصحيح ثغرة الملء التلقائي في LinkedIn بنجاح. بعد تحليل متعمق ، أفاد كابل أن واحدًا على الأقل من المجالات المدرجة في القائمة البيضاء لا يزال عرضة للاستغلال الذي يسمح للمجرمين بإساءة استخدام زر الملء التلقائي.

تم إبلاغ LinkedIn بشأن ثغرة أمنية لم يتم إصلاحها ، على الرغم من أن الشركة لم تستجب. وبالتالي ، قام الباحث بإعلان الثغرة الأمنية. عند الكشف عن المعلومات ، سارع موظفو LinkedIn إلى إصدار التصحيح مرارًا وتكرارًا:[5]

لقد منعنا على الفور الاستخدام غير المصرح به لهذه الميزة ، بمجرد علمنا بالمشكلة. على الرغم من أننا لم نلاحظ أي علامات على سوء الاستخدام ، فإننا نعمل باستمرار لضمان حماية بيانات أعضائنا. نحن نقدر الباحث الذي أبلغ عن ذلك بمسؤولية ، وسيواصل فريق الأمن لدينا التواصل معهم.