Das LinkedIn AutoFill-Plugin hat möglicherweise Benutzerprofildaten Hackern zugänglich gemacht
Datenschutzskandal bei Facebook[1] wird derzeit durch den AutoFill-Fehler von LinkedIn in den Schatten gestellt, der möglicherweise personenbezogene Daten von Benutzern auf Websites von Drittanbietern preisgibt.
In Betracht kommt LinkedIn, ein soziales Netzwerk von Professionals, die seit 2016 zu Microsoft gehören als eines der professionellsten sozialen Netzwerke im Web, das nicht von seinem Ursprung abweicht Zweck. Dem Skandal um eine Datenpanne konnte sie jedoch nicht entgehen. Am 9. April 2018 enthüllte ein Forscher Jack Cable[2] ein schwerwiegender Fehler im AutoFill-Plugin von LinkedIn.
Der Fehler wird als Cross-Site-Scripting (XSS) bezeichnet und kann grundlegende Informationen aus den Profilen von LinkedIn-Mitgliedern offenlegen, wie z. B. vollständiger Name, E-Mail-Adresse, Standort, eine Position usw. an nicht vertrauenswürdige Parteien. Genehmigte Websites von Drittanbietern, die in die Whitelist von LinkedIn aufgenommen wurden, können „AutoFill mit LinkedIn“ unsichtbar machen. Dadurch geben LinkedIn-Mitglieder automatisch ihre Daten aus dem Profil ein, indem sie irgendwo auf das Spam klicken Webseite.
Cross-Site-Scripting-Fehler ermöglicht es Hackern, die Ansicht der Website zu ändern
Cross-Site-Scripting oder XSS[3] ist eine weit verbreitete Schwachstelle, die jede App im Web betreffen kann. Der Fehler wird von Hackern ausgenutzt, um leicht Inhalte in eine Website einzuschleusen und die aktuelle Anzeigeansicht zu ändern.
Im Falle eines LinkedIn-Fehlers ist es Hackern gelungen, ein weit verbreitetes AutoFill-Plugin auszunutzen. Letzteres ermöglicht es Benutzern, Formulare schnell auszufüllen. LinkedIn hat eine Whitelist-Domain, um diese Funktionalität zu nutzen (mehr als 10.000 sind in den Top 10.000 enthalten von Alexa eingestuften Websites), sodass zugelassene Dritte nur grundlegende Informationen von ihren Profil.
Der XSS-Fehler ermöglicht es Hackern jedoch, das Plugin auf der gesamten Website zu rendern „AutoFill mit LinkedIn“ Taste[4] unsichtbar. Wenn folglich ein mit LinkedIn verbundener Internetnutzer eine von einem XSS-Fehler betroffene Website öffnet, klickt er auf leer oder auf einer solchen Domain platzierter Inhalt, unbeabsichtigt personenbezogene Daten preisgibt, als würde man darauf klicken an „AutoFill mit LinkedIn" Taste.
Infolgedessen kann der Eigentümer der Website den vollständigen Namen, die Telefonnummer, den Standort, die E-Mail-Adresse, die Postleitzahl, das Unternehmen, die ausgeübte Position, die Erfahrung usw. abrufen. ohne um Erlaubnis des Besuchers zu bitten. Wie Jack Cable erklärte,
Dies liegt daran, dass die AutoFill-Schaltfläche unsichtbar gemacht werden könnte und sich über die gesamte Seite erstreckt, wodurch ein Benutzer auf eine beliebige Stelle klickt, um die Informationen des Benutzers an die Website zu senden.
Ein Patch für den AutoFill-Fehler wurde bereits am 10. April veröffentlicht
Bei der Gründung kontaktierte Jack Cable, der Forscher, der den Fehler fand, LinkedIn und meldete die XSS-Sicherheitslücke. Als Reaktion darauf veröffentlichte das Unternehmen am 10. April einen Patch und beschränkte eine kleine Anzahl genehmigter Websites.
Trotzdem wurde die Schwachstelle LinkedIn Autofill nicht erfolgreich gepatcht. Nach einer eingehenden Analyse berichtete Cable, dass mindestens eine der Domänen auf der Whitelist immer noch anfällig für den Exploit ist, der es Kriminellen ermöglicht, die AutoFill-Schaltfläche zu missbrauchen.
LinkedIn wurde über ungepatchte Sicherheitslücken informiert, das Unternehmen reagierte jedoch nicht. Folglich machte der Forscher die Schwachstelle öffentlich. Nach der Enthüllung veröffentlichten die Mitarbeiter von LinkedIn den Patch wiederholt:[5]
Wir haben die unbefugte Nutzung dieser Funktion sofort verhindert, nachdem wir auf das Problem aufmerksam gemacht wurden. Obwohl wir keine Anzeichen von Missbrauch festgestellt haben, arbeiten wir kontinuierlich daran, sicherzustellen, dass die Daten unserer Mitglieder geschützt bleiben. Wir wissen es zu schätzen, dass der Forscher dies verantwortungsbewusst gemeldet hat, und unser Sicherheitsteam wird weiterhin mit ihm in Kontakt bleiben.