LinkedIn AutoFill -laajennus on saattanut paljastaa käyttäjäprofiilitiedot hakkereille
Facebookin tietoturvaskandaali[1] on tällä hetkellä varjossa LinkedInin automaattisen täytön virheen vuoksi, joka saattaa paljastaa käyttäjien henkilökohtaiset tiedot kolmansien osapuolien verkkosivustoille.
LinkedIn, Microsoftille vuodesta 2016 lähtien kuuluneiden ammattilaisten sosiaalinen verkosto, on otettu huomioon yhtenä ammattimaisimmista sosiaalisista verkostoista verkossa, joka ei poikkea alkuperäisestä tarkoitus. Se ei kuitenkaan onnistunut välttämään tietomurtoskandaalia. 9. huhtikuuta 2018 tutkija Jack Cable paljasti[2] vakava virhe LinkedInin AutoFill-laajennuksessa.
Sivustonväliseksi komentosarjaksi (XSS) kutsuttu virhe saattaa paljastaa LinkedIn-jäsenten profiilien perustiedot, kuten koko nimen, sähköpostiosoitteen, sijainnin, aseman jne. epäluotettaville osapuolille. Hyväksytyt kolmannen osapuolen verkkosivustot, jotka on sisällytetty LinkedInin sallittujen luetteloon, voivat tehdä "AutoFill with LinkedIn" -toiminnon näkymättömäksi, jolloin LinkedIn-jäsenet täyttävät automaattisesti tietonsa profiilista napsauttamalla mitä tahansa roskapostin kohtaa verkkosivusto.
Cross-Site Scripting -virhe antaa hakkereille mahdollisuuden muokata verkkosivuston näkymää
Cross-Site Scripting tai XSS[3] on laajalle levinnyt haavoittuvuus, joka voi vaikuttaa kaikkiin verkon sovelluksiin. Hakkerit käyttävät hyväkseen virhettä tavalla, jolla he voivat helposti lisätä sisältöä verkkosivustolle ja muokata sen nykyistä näyttönäkymää.
LinkedIn-virheen tapauksessa hakkerit onnistuivat hyödyntämään laajalti käytettyä AutoFill-laajennusta. Jälkimmäisen avulla käyttäjät voivat täyttää lomakkeita nopeasti. LinkedInillä on sallittujen luetteloon lisätty verkkotunnus tämän toiminnon käyttöä varten (yli 10 000 sisältyy 10 000 parhaan joukkoon Alexan luokittelemat verkkosivustot), jolloin hyväksytyt kolmannet osapuolet voivat täyttää vain perustietojaan profiili.
XSS-virheen ansiosta hakkerit voivat kuitenkin renderöidä laajennuksen koko verkkosivustolle "Automaattinen täyttö LinkedInillä" -painiketta[4] näkymätön. Näin ollen, jos LinkedIniin liitetty nettikäyttäjä avaa XSS-virheestä kärsivän verkkosivuston, napsauta tyhjä tai mikä tahansa sellaiseen verkkotunnukseen sijoitettu sisältö, paljastaa tahattomasti henkilökohtaisia tietoja napsauttaessaan päällä "Automaattinen täyttö LinkedInillä”-painiketta.
Tämän seurauksena verkkosivuston omistaja voi hakea koko nimen, puhelinnumeron, sijainnin, sähköpostiosoitteen, postinumeron, yrityksen, aseman, kokemuksen jne. ilman vierailijan lupaa. Kuten Jack Cable selitti,
Tämä johtuu siitä, että Automaattinen täyttö -painike voidaan tehdä näkymättömäksi ja kattaa koko sivun, jolloin käyttäjä napsauttaa mitä tahansa lähettääkseen käyttäjän tiedot verkkosivustolle.
AutoFill-virheen korjaus on jo julkaistu 10. huhtikuuta
Vian löytänyt tutkija Jack Cable otti perustamisen yhteydessä yhteyttä LinkedIniin ja ilmoitti XSS-haavoittuvuudesta. Vastauksena yritys julkaisi korjaustiedoston 10. huhtikuuta ja rajoitti pienen määrän hyväksyttyjä verkkosivustoja.
LinkedInin automaattisen täytön haavoittuvuutta ei kuitenkaan ole korjattu onnistuneesti. Perusteellisen analyysin jälkeen Cable ilmoitti, että ainakin yksi sallittujen luettelossa olevista verkkotunnuksista on edelleen alttiina hyväksikäytölle, joka sallii rikollisten väärinkäyttää AutoFill-painiketta.
LinkedInille on ilmoitettu korjaamattomasta haavoittuvuudesta, vaikka yritys ei vastannut. Näin ollen tutkija julkisti haavoittuvuuden. Paljastuksen jälkeen LinkedInin henkilökunta julkaisi korjaustiedoston toistuvasti:[5]
Estimme välittömästi tämän ominaisuuden luvattoman käytön, kun saimme tietää ongelmasta. Vaikka emme ole havainneet merkkejä väärinkäytöstä, pyrimme jatkuvasti varmistamaan, että jäsentemme tiedot pysyvät suojattuna. Arvostamme tutkijaa, joka raportoi asiasta vastuullisesti, ja turvallisuustiimimme pitää heihin jatkossakin yhteyttä.