LinkedIn AutoFill-plugin kan have afsløret brugerprofildata for hackere
Facebooks datasikkerhedsskandale[1] bliver i øjeblikket sat i skyggen af LinkedIns AutoFyld-fejl, som muligvis eksponerer brugernes personlige oplysninger for tredjeparts hjemmesider.
LinkedIn, et socialt netværk fra fagfolk, der har tilhørt Microsoft siden 2016, er blevet overvejet som et af de mest professionelle sociale netværk på nettet, der ikke afviger fra dets oprindelige formål. Det lykkedes dog ikke at unddrage sig skandalen om et databrud. Den 9. april 2018 afslørede en forsker Jack Cable[2] en alvorlig fejl i LinkedIns AutoFyld-plugin.
Kaldet som cross-site scripting (XSS), kan fejlen afsløre grundlæggende oplysninger fra LinkedIn-medlemmers profiler, såsom fulde navn, e-mailadresse, placering, en stilling, osv. til upålidelige parter. Godkendte tredjepartswebsteder, der er inkluderet i LinkedIns hvidliste, kan gøre "AutoFyld med LinkedIn" usynlig, dermed få LinkedIn-medlemmer til automatisk at udfylde deres oplysninger fra profilen ved at klikke hvor som helst på spammet internet side.
Cross-Site Scripting-fejl giver hackere mulighed for at ændre webstedets visning
Cross-Site Scripting eller XSS[3] er en udbredt sårbarhed, der kan påvirke enhver app på nettet. Fejlen udnyttes af hackere på en måde, de nemt kan injicere indhold på et websted og ændre dets aktuelle visning.
I tilfælde af LinkedIn-fejl lykkedes det hackere at udnytte et meget brugt AutoFyld-plugin. Sidstnævnte giver brugerne mulighed for hurtigt at udfylde formularer. LinkedIn har et hvidlistet domæne til at bruge denne funktionalitet (mere end 10.000 inkluderet i top 10.000 websteder rangeret af Alexa), således at godkendte tredjeparter kun kan udfylde grundlæggende oplysninger fra deres profil.
XSS-fejlen tillader dog hackere at gengive plugin'et på hele webstedet, hvilket gør det "AutoFyld med LinkedIn" knap[4] usynlig. Følgelig, hvis en netbruger, der er forbundet til LinkedIn åbner et websted, der er ramt af XSS-fejl, skal du klikke på en tom eller noget indhold placeret på et sådant domæne, utilsigtet afslører personlige oplysninger, som om du klikker på "AutoFyld med LinkedIn”-knappen.
Som en konsekvens heraf kan ejeren af hjemmesiden hente et fulde navn, telefonnummer, lokation, e-mailadresse, postnummer, virksomhed, den besatte stilling, erfaring mv. uden at spørge om besøgendes tilladelse. Som Jack Cable forklarede,
Dette skyldes, at AutoFyld-knappen kan gøres usynlig og strækker sig over hele siden, hvilket får en bruger til at klikke hvor som helst for at sende brugerens oplysninger til webstedet.
En patch til AutoFyld-fejl er allerede blevet udgivet den 10. april
Ved grundlæggelsen kontaktede Jack Cable, forskeren, der fandt fejlen, LinkedIn og rapporterede XSS-sårbarheden. Som svar udgav virksomheden en patch den 10. april og begrænsede et lille antal godkendte websteder.
Ikke desto mindre er LinkedIn Autofill-sårbarheden ikke blevet rettet. Efter en dybdegående analyse rapporterede Cable, at mindst et af de hvidlistede domæner stadig er sårbart over for udnyttelsen, der tillader kriminelle at misbruge knappen AutoFyld.
LinkedIn er blevet informeret om uoprettet sårbarhed, selvom virksomheden ikke reagerede. Derfor offentliggjorde forskeren sårbarheden. Efter afsløring var LinkedIns personale hurtige til at frigive patchen gentagne gange:[5]
Vi forhindrede straks uautoriseret brug af denne funktion, da vi blev gjort opmærksomme på problemet. Selvom vi ikke har set tegn på misbrug, arbejder vi konstant på at sikre, at vores medlemmers data forbliver beskyttet. Vi sætter pris på, at forskeren ansvarligt rapporterer dette, og vores sikkerhedsteam vil fortsat holde kontakten med dem.