Η προσθήκη LinkedIn AutoFill ενδέχεται να έχει εκθέσει τα δεδομένα προφίλ χρήστη σε χάκερ
Το σκάνδαλο ασφάλειας δεδομένων του Facebook[1] Αυτή τη στιγμή τίθεται σε σκιά λόγω του ελαττώματος AutoFill του LinkedIn, το οποίο πιθανώς εκθέτει τα προσωπικά στοιχεία των χρηστών σε ιστότοπους τρίτων.
Το LinkedIn, ένα κοινωνικό δίκτυο από επαγγελματίες που ανήκουν στη Microsoft από το 2016, έχει εξεταστεί ως ένα από τα πιο επαγγελματικά κοινωνικά δίκτυα στο διαδίκτυο που δεν ξεφεύγει από το αρχικό του σκοπός. Ωστόσο, δεν κατάφερε να αποφύγει το σκάνδαλο της παραβίασης δεδομένων. Στις 9 Απριλίου 2018 ένας ερευνητής Jack Cable αποκάλυψε[2] ένα σοβαρό ελάττωμα στην προσθήκη AutoFill του LinkedIn.
Με το όνομα cross-site scripting (XSS), το ελάττωμα μπορεί να αποκαλύψει βασικές πληροφορίες από τα προφίλ των μελών του LinkedIn, όπως το πλήρες όνομα, τη διεύθυνση email, την τοποθεσία, μια θέση που κατέχει κ.λπ. σε αναξιόπιστα κόμματα. Οι εγκεκριμένοι ιστότοποι τρίτων που περιλαμβάνονται στη λίστα επιτρεπόμενων του LinkedIn μπορούν να καταστήσουν την "Αυτόματη συμπλήρωση με το LinkedIn" αόρατη, κάνοντας έτσι τα μέλη του LinkedIn να συμπληρώνουν αυτόματα τα στοιχεία τους από το προφίλ κάνοντας κλικ οπουδήποτε στα ανεπιθύμητα δικτυακός τόπος.
Το ελάττωμα Cross-Site Scripting επιτρέπει στους χάκερ να τροποποιούν την προβολή του ιστότοπου
Cross-Site Scripting ή XSS[3] είναι μια ευρέως διαδεδομένη ευπάθεια που μπορεί να επηρεάσει οποιαδήποτε εφαρμογή στον ιστό. Το ελάττωμα εκμεταλλεύονται οι χάκερ με τρόπο που μπορούν εύκολα να εισάγουν περιεχόμενο σε έναν ιστότοπο και να τροποποιήσουν την τρέχουσα προβολή προβολής του.
Σε περίπτωση ελαττώματος του LinkedIn, οι χάκερ κατάφεραν να εκμεταλλευτούν ένα ευρέως χρησιμοποιούμενο πρόσθετο Αυτόματης Συμπλήρωσης. Το τελευταίο επιτρέπει στους χρήστες να συμπληρώνουν γρήγορα φόρμες. Το LinkedIn έχει έναν τομέα στη λίστα επιτρεπόμενων για χρήση αυτής της λειτουργικότητας (περισσότεροι από 10.000 περιλαμβάνονται στους κορυφαίους 10.000 ιστοσελίδες που ταξινομούνται από την Alexa), επιτρέποντας έτσι σε εγκεκριμένα τρίτα μέρη να συμπληρώνουν μόνο βασικές πληροφορίες από τους Προφίλ.
Ωστόσο, το ελάττωμα XSS επιτρέπει στους χάκερ να αποδώσουν το πρόσθετο σε ολόκληρο τον ιστότοπο που το δημιουργεί "Αυτόματη συμπλήρωση με LinkedIn" κουμπί[4] αόρατος. Συνεπώς, εάν ένας διαδικτυακός χρήστης που είναι συνδεδεμένος στο LinkedIn ανοίξει έναν ιστότοπο που επηρεάζεται από ελάττωμα XSS, κάνοντας κλικ σε κενό ή οποιοδήποτε περιεχόμενο τοποθετείται σε έναν τέτοιο τομέα, αποκαλύπτει ακούσια προσωπικές πληροφορίες σαν να κάνει κλικ επί «Αυτόματη συμπλήρωση με το LinkedInκουμπί ".
Κατά συνέπεια, ο κάτοχος του ιστότοπου μπορεί να ανακτήσει ένα πλήρες όνομα, αριθμό τηλεφώνου, τοποθεσία, διεύθυνση email, ταχυδρομικό κώδικα, εταιρεία, τη θέση που κατείχε, εμπειρία κ.λπ. χωρίς να ζητήσει την άδεια του επισκέπτη. Όπως εξήγησε ο Jack Cable,
Αυτό οφείλεται στο γεγονός ότι το κουμπί Αυτόματη Συμπλήρωση θα μπορούσε να γίνει αόρατο και να εκτείνεται σε ολόκληρη τη σελίδα, με αποτέλεσμα ο χρήστης να κάνει κλικ οπουδήποτε για να στείλει τις πληροφορίες του χρήστη στον ιστότοπο.
Μια ενημέρωση κώδικα για ελάττωμα Αυτόματης Συμπλήρωσης έχει ήδη εκδοθεί στις 10 Απριλίου
Κατά την ίδρυση, ο Jack Cable, ο ερευνητής που βρήκε το ελάττωμα, επικοινώνησε με το LinkedIn και ανέφερε την ευπάθεια XSS. Σε απάντηση, η εταιρεία κυκλοφόρησε μια ενημέρωση κώδικα στις 10 Απριλίου και περιόρισε έναν μικρό αριθμό εγκεκριμένων ιστοσελίδων.
Ωστόσο, η ευπάθεια Autofill του LinkedIn δεν έχει επιδιορθωθεί με επιτυχία. Μετά από μια εις βάθος ανάλυση, η Cable ανέφερε ότι τουλάχιστον ένας από τους τομείς της λίστας επιτρεπόμενων εξακολουθεί να είναι ευάλωτος στην εκμετάλλευση που επιτρέπει στους εγκληματίες να κάνουν κακή χρήση του κουμπιού Αυτόματης Συμπλήρωσης.
Το LinkedIn έχει ενημερωθεί για μη επιδιορθωμένη ευπάθεια, αν και η εταιρεία δεν απάντησε. Κατά συνέπεια, ο ερευνητής δημοσιοποίησε την ευπάθεια. Μετά την αποκάλυψη, το προσωπικό του LinkedIn έσπευσε να κυκλοφορήσει το patch επανειλημμένα:[5]
Αποτρέψαμε αμέσως τη μη εξουσιοδοτημένη χρήση αυτής της δυνατότητας, μόλις ενημερωθήκαμε για το πρόβλημα. Αν και δεν έχουμε δει σημάδια κατάχρησης, εργαζόμαστε συνεχώς για να διασφαλίσουμε ότι τα δεδομένα των μελών μας παραμένουν προστατευμένα. Εκτιμούμε τον ερευνητή που το αναφέρει υπεύθυνα και η ομάδα ασφαλείας μας θα συνεχίσει να διατηρεί επαφή μαζί του.