Приставката LinkedIn AutoFill може да е разкрила данните на потребителския профил на хакери
Скандалът със сигурността на данните във Facebook[1] в момента се поставя в сянка от недостатъка на AutoFill на LinkedIn, който вероятно излага личната информация на потребителите на уебсайтове на трети страни.
Обмислена е LinkedIn, социална мрежа от професионалисти, които принадлежат на Microsoft от 2016 г като една от най-професионалните социални мрежи в мрежата, която не се отклонява от първоначалната си предназначение. То обаче не успя да избегне скандала с пробив на данни. На 9 април 2018 г. изследовател Джак Кейбъл разкри[2] сериозен недостатък в приставката AutoFill на LinkedIn.
Наричан като скриптове между сайтове (XSS), недостатъкът може да разкрие основна информация от профилите на членовете на LinkedIn, като пълно име, имейл адрес, местоположение, заемана позиция и т.н. на ненадеждни партии. Одобрените уебсайтове на трети страни, които са включени в белия списък на LinkedIn, могат да направят „Автоматично попълване с LinkedIn“ невидимо, по този начин членовете на LinkedIn автоматично попълват своите данни от профила, като щракнат някъде върху спама уебсайт.
Недостатъкът на междусайтовите скриптове позволява на хакерите да променят изгледа на уебсайта
Междусайтови скриптове или XSS[3] е широко разпространена уязвимост, която може да засегне всяко приложение в мрежата. Недостатъкът се използва от хакери по начин, по който могат лесно да инжектират съдържание в уебсайт и да променят текущия му изглед на дисплея.
В случай на грешка в LinkedIn, хакерите успяха да използват широко използван плъгин за автоматично попълване. Последното позволява на потребителите бързо да попълват формуляри. LinkedIn има домейн в белия списък за използване на тази функционалност (повече от 10 000, включени в първите 10 000 уебсайтове, класирани от Alexa), като по този начин позволява на одобрени трети страни само да попълват основна информация от своите профил.
Въпреки това, недостатъкът на XSS позволява на хакерите да изобразят приставката на целия уебсайт, който го прави „Автоматично попълване с LinkedIn“ бутон[4] невидим. Следователно, ако нетизен, който е свързан с LinkedIn, отвори уебсайт, засегнат от XSS недостатък, щраквайки върху празно или каквото и да е съдържание, позиционирано в такъв домейн, неволно разкрива лична информация, сякаш щраква На „Автоматично попълване с LinkedIn” бутон.
В резултат на това собственикът на уебсайта може да извлече пълно име, телефонен номер, местоположение, имейл адрес, пощенски код, компания, заемана длъжност, опит и т.н. без да иска разрешение на посетителя. Както Джак Кейбъл обясни,
Това е така, защото бутонът за автоматично попълване може да бъде направен невидим и да обхваща цялата страница, което кара потребителят да щракне навсякъде, за да изпрати информацията на потребителя до уебсайта.
На 10 април вече беше издадена корекция за грешка в AutoFill
При основаването Джак Кейбъл, изследователят, който откри недостатъка, се свърза с LinkedIn и съобщи за уязвимостта на XSS. В отговор компанията пусна пач на 10 април и ограничи малък брой одобрени уебсайтове.
Въпреки това, уязвимостта LinkedIn Autofill не е коригирана успешно. След задълбочен анализ, Cable съобщи, че поне един от домейните в белия списък все още е уязвим към експлоата, позволяващ на престъпниците да злоупотребяват с бутона за автоматично попълване.
LinkedIn беше информиран за непоправена уязвимост, въпреки че компанията не отговори. Следователно изследователят направи публично достояние уязвимостта. След разкритието служителите на LinkedIn побързаха да пуснат пластира многократно:[5]
Веднага предотвратихме неоторизирано използване на тази функция, след като бяхме уведомени за проблема. Въпреки че не сме виждали признаци на злоупотреба, ние непрекъснато работим, за да гарантираме, че данните на нашите членове остават защитени. Оценяваме отговорното отчитане на изследователя за това и нашият екип по сигурността ще продължи да поддържа връзка с тях.