Plugin LinkedIn AutoFill mohl vystavit data uživatelského profilu hackerům
Skandál s bezpečností dat na Facebooku[1] je v současné době zastíněna chybou LinkedIn AutoFill, která možná vystavuje osobní údaje uživatelů webům třetích stran.
Uvažovalo se o LinkedIn, sociální síti od profesionálů, která od roku 2016 patří pod Microsoft jako jedna z nejprofesionálnějších sociálních sítí na webu, která se neodchyluje od svého počátku účel. Skandál s únikem dat se jí však vyhnout nepodařilo. 9. dubna 2018 výzkumník Jack Cable odhalil[2] závažná chyba v pluginu AutoFill na LinkedIn.
Tato chyba, nazývaná jako cross-site scripting (XSS), může odhalit základní informace z profilů členů LinkedIn, jako je celé jméno, e-mailová adresa, umístění, zastávaná pozice atd. nedůvěryhodným stranám. Schválené webové stránky třetích stran, které jsou zahrnuty do whitelistu LinkedIn, mohou učinit „Automatické vyplňování pomocí LinkedIn“ neviditelným, takže členové LinkedIn automaticky vyplňují své údaje z profilu kliknutím kamkoli na spam webová stránka.
Chyba Cross-Site Scripting umožňuje hackerům upravit zobrazení webu
Cross-Site Scripting nebo XSS[3] je rozšířená chyba zabezpečení, která může ovlivnit jakoukoli aplikaci na webu. Chybu využívají hackeři tak, že mohou snadno vložit obsah do webové stránky a upravit její aktuální zobrazení.
V případě chyby LinkedIn se hackerům podařilo zneužít široce používaný AutoFill plugin. Ten umožňuje uživatelům rychle vyplňovat formuláře. LinkedIn má povolenou doménu pro použití této funkce (více než 10 000 zahrnuto mezi 10 000 weby hodnocené Alexou), což umožňuje schváleným třetím stranám pouze vyplnit základní informace z jejich profil.
Chyba XSS však umožňuje hackerům vykreslit plugin na celém webu, který vytváří „Automatické vyplňování pomocí LinkedIn“ knoflík[4] neviditelný. Pokud tedy netizen, který je připojen k LinkedIn, otevře webovou stránku ovlivněnou chybou XSS, kliknutím na prázdný nebo jakýkoli obsah umístěný na takové doméně, neúmyslně prozrazuje osobní údaje, jako byste klikli na „Automatické vyplňování pomocí LinkedIn" knoflík.
V důsledku toho může vlastník webu získat celé jméno, telefonní číslo, umístění, e-mailovou adresu, PSČ, společnost, zastávanou pozici, zkušenosti atd. bez žádosti o svolení návštěvníka. Jak vysvětlil Jack Cable,
Důvodem je to, že tlačítko Automatické vyplňování by mohlo být neviditelné a pokrývat celou stránku, což by způsobilo, že uživatel kliknul kamkoli, aby odeslal informace o uživateli na web.
Oprava pro chybu AutoFill byla vydána již 10. dubna
Po založení Jack Cable, výzkumník, který našel chybu, kontaktoval LinkedIn a nahlásil zranitelnost XSS. V reakci na to společnost vydala 10. dubna opravu a omezila malý počet schválených webových stránek.
Chyba zabezpečení LinkedIn Autofill však nebyla úspěšně opravena. Po hloubkové analýze Cable oznámil, že alespoň jedna z povolených domén je stále zranitelná vůči exploitu, který umožňuje zločincům zneužít tlačítko Automatické vyplňování.
LinkedIn byl informován o neopravené zranitelnosti, ačkoli společnost nereagovala. Následně výzkumník zranitelnost zveřejnil. Po odhalení pracovníci LinkedInu rychle uvolnili opravu opakovaně:[5]
Jakmile jsme byli o problému informováni, okamžitě jsme zabránili neoprávněnému použití této funkce. I když jsme nezaznamenali žádné známky zneužití, neustále pracujeme na tom, abychom zajistili, že data našich členů zůstanou chráněna. Oceňujeme, že výzkumník to zodpovědně nahlásil a náš bezpečnostní tým s nimi bude i nadále v kontaktu.