La falla del complemento AutoFill de LinkedIn permitió a los piratas informáticos filtrar datos personales

El complemento de Autocompletar de LinkedIn podría haber expuesto los datos del perfil del usuario a los piratas informáticos

El complemento de Autocompletar de LinkedIn podría haber filtrado datos

El escándalo de seguridad de datos de Facebook[1] actualmente está siendo puesto en la sombra por la falla de Autocompletar de LinkedIn, que posiblemente expone la información personal de los usuarios a sitios web de terceros.

LinkedIn, una red social de profesionales que pertenecen a Microsoft desde 2016, ha sido considerada como una de las redes sociales más profesionales de la web que no se aparta de su inicial propósito. Sin embargo, no logró evadir el escándalo de una violación de datos. El 9 de abril de 2018, un investigador Jack Cable reveló[2] un defecto grave en el complemento Autocompletar de LinkedIn.

Apodado como cross-site scripting (XSS), la falla podría exponer información básica de los perfiles de los miembros de LinkedIn, como el nombre completo, la dirección de correo electrónico, la ubicación, un puesto ocupado, etc. a partes no confiables. Los sitios web de terceros aprobados que se incluyen en la lista blanca de LinkedIn pueden hacer que "Autocompletar con LinkedIn" sea invisible, haciendo que los miembros de LinkedIn completen automáticamente sus datos desde el perfil haciendo clic en cualquier lugar del correo no deseado. sitio web.

La falla de Cross-Site Scripting permite a los piratas informáticos modificar la vista del sitio web

Secuencias de comandos entre sitios o XSS[3] es una vulnerabilidad generalizada que puede afectar a cualquier aplicación en la web. Los piratas informáticos aprovechan la falla para que puedan inyectar contenido fácilmente en un sitio web y modificar su vista de visualización actual.

En caso de fallas en LinkedIn, los piratas informáticos lograron explotar un complemento de Autocompletar ampliamente utilizado. Este último permite a los usuarios completar formularios rápidamente. LinkedIn tiene un dominio en la lista blanca para usar esta funcionalidad (más de 10,000 incluidos entre los 10,000 principales sitios web clasificados por Alexa), lo que permite a los terceros aprobados solo completar información básica de sus perfil.

Sin embargo, la falla XSS permite a los piratas informáticos representar el complemento en todo el sitio web, lo que hace que el "Autocompletar con LinkedIn" botón[4] invisible. En consecuencia, si un internauta que está conectado a LinkedIn abre un sitio web afectado por una falla XSS, al hacer clic en un vacío o cualquier contenido ubicado en dicho dominio, revela involuntariamente información personal como si hiciera clic en sobre "Autocompletar con LinkedIn" botón.

Como consecuencia, el propietario del sitio web puede recuperar un nombre completo, número de teléfono, ubicación, dirección de correo electrónico, código postal, empresa, puesto que ocupa, experiencia, etc. sin pedir permiso de visita. Como explicó Jack Cable,

Esto se debe a que el botón Autocompletar podría volverse invisible y abarcar toda la página, haciendo que un usuario haga clic en cualquier lugar para enviar la información del usuario al sitio web.

Ya se emitió un parche para la falla de Autocompletar el 10 de abril

Tras la fundación, Jack Cable, el investigador que encontró la falla, se comunicó con LinkedIn e informó sobre la vulnerabilidad XSS. En respuesta, la compañía lanzó un parche el 10 de abril y limitó una pequeña cantidad de sitios web aprobados.

Sin embargo, la vulnerabilidad de Autocompletar de LinkedIn no se ha corregido correctamente. Después de un análisis en profundidad, Cable informó que al menos uno de los dominios incluidos en la lista blanca sigue siendo vulnerable al exploit, lo que permite a los delincuentes hacer un mal uso del botón Autocompletar.

LinkedIn ha sido informado sobre una vulnerabilidad sin parchear, aunque la empresa no respondió. En consecuencia, el investigador hizo pública la vulnerabilidad. Tras la revelación, el personal de LinkedIn se apresuró a lanzar el parche repetidamente:[5]

Inmediatamente evitamos el uso no autorizado de esta función, una vez que nos enteramos del problema. Si bien no hemos visto signos de abuso, trabajamos continuamente para garantizar que los datos de nuestros miembros permanezcan protegidos. Agradecemos al investigador que informe esto de manera responsable, y nuestro equipo de seguridad seguirá en contacto con ellos.