LinkedIn automaatse täitmise pistikprogramm võib olla häkkeritele avaldanud kasutajaprofiili andmed
Facebooki andmeturbe skandaal[1] on praegu varjus LinkedIni automaatse täitmise vea tõttu, mis võib avaldada kasutajate isikuandmeid kolmandate osapoolte veebisaitidele.
Arvesse on võetud 2016. aastast Microsoftile kuuluvate professionaalide sotsiaalvõrgustikku LinkedIn kui üks kõige professionaalsemaid suhtlusvõrgustikke veebis, mis ei erine algsest eesmärk. Andmerikkumise skandaalist tal siiski kõrvale hiilida ei õnnestunud. 9. aprillil 2018 avastas teadlane Jack Cable[2] tõsine viga LinkedIni automaatse täitmise pistikprogrammis.
Saidiüleseks skriptimiseks (XSS) nimetatud viga võib paljastada LinkedIni liikmete profiilide põhiteabe, nagu täisnimi, e-posti aadress, asukoht, ametikoht jne. ebausaldusväärsetele osapooltele. Heakskiidetud kolmandate osapoolte veebisaidid, mis on kaasatud LinkedIni valgesse nimekirja, võivad muuta „Automaatne täitmine LinkedIniga” nähtamatuks, seega panevad LinkedIni liikmed rämpspostiga suvalisse kohta klõpsates automaatselt oma andmed profiilist sisestama veebisait.
Saidiülese skriptimise viga võimaldab häkkeritel veebisaidi vaadet muuta
Saididevaheline skriptimine või XSS[3] on laialt levinud haavatavus, mis võib mõjutada kõiki veebirakendusi. Häkkerid kasutavad seda viga ära nii, et nad saavad hõlpsalt veebisaidile sisu sisestada ja selle praegust kuvavaadet muuta.
LinkedIni vea korral õnnestus häkkeritel ära kasutada laialdaselt kasutatavat automaatse täitmise pistikprogrammi. Viimane võimaldab kasutajatel vorme kiiresti täita. LinkedInil on selle funktsiooni kasutamiseks lubatud domeen (rohkem kui 10 000 on 10 000 parima hulgas Alexa järjestatud veebisaidid), võimaldades seega heakskiidetud kolmandatel osapooltel täita ainult oma põhiteavet profiil.
XSS-i viga võimaldab häkkeritel pistikprogrammi renderdada kogu veebisaidil "Automaatne täitmine LinkedIniga" nuppu[4] nähtamatuks. Järelikult, kui LinkedIniga ühendatud netimees avab XSS-i veast mõjutatud veebisaidi, klõpsates tühi või mis tahes sellisele domeenile paigutatud sisu, avaldab tahtmatult isikuandmeid otsekui klõpsates peal "Automaatne täitmine LinkedIniga” nuppu.
Selle tulemusena saab veebisaidi omanik hankida täisnime, telefoninumbri, asukoha, e-posti aadressi, sihtnumbri, ettevõtte, ametikoha, kogemuse jne. külastajalt luba küsimata. Nagu Jack Cable selgitas,
Selle põhjuseks on asjaolu, et automaatse täitmise nupu võib muuta nähtamatuks ja see katab kogu lehe, mistõttu kasutaja klõpsab suvalises kohas kasutaja teabe veebisaidile saatmiseks.
Automaatse täitmise vea plaaster on juba välja antud 10. aprillil
Asutamisel võttis vea leidnud teadlane Jack Cable ühendust LinkedIniga ja teatas XSS-i haavatavusest. Vastuseks andis ettevõte 10. aprillil välja plaastri ja piiras väikese arvu heakskiidetud veebisaite.
Sellegipoolest ei ole LinkedIni automaatse täitmise haavatavust edukalt parandatud. Pärast põhjalikku analüüsi teatas Cable, et vähemalt üks valgesse nimekirja kantud domeenidest on endiselt haavatav ärakasutamise suhtes, mis võimaldab kurjategijatel automaatse täitmise nuppu kuritarvitada.
LinkedIni on teavitatud parandamata haavatavusest, kuigi ettevõte ei vastanud. Sellest tulenevalt tegi uurija haavatavuse avalikuks. Pärast ilmutamist avaldasid LinkedIni töötajad kiiresti plaastri korduvalt:[5]
Pärast probleemist teavitamist takistasime kohe selle funktsiooni volitamata kasutamist. Kuigi me pole näinud kuritarvitamise märke, töötame pidevalt selle nimel, et meie liikmete andmed oleksid kaitstud. Hindame teadlast vastutustundliku teatamise eest ja meie turvameeskond hoiab nendega jätkuvalt ühendust.