Le plugin LinkedIn AutoFill pourrait avoir exposé les données de profil utilisateur à des pirates
Le scandale de la sécurité des données de Facebook[1] est actuellement mis dans l'ombre par la faille AutoFill de LinkedIn, qui expose peut-être les informations personnelles des utilisateurs à des sites Web tiers.
LinkedIn, un réseau social de professionnels appartenant à Microsoft depuis 2016, a été considéré comme l'un des réseaux sociaux les plus professionnels du web qui ne déroge pas à son but. Cependant, il n'a pas réussi à échapper au scandale d'une violation de données. Le 9 avril 2018, un chercheur Jack Cable a révélé[2] une grave faille dans le plugin AutoFill de LinkedIn.
Surnommée cross-site scripting (XSS), la faille peut exposer des informations de base des profils des membres de LinkedIn, telles que le nom complet, l'adresse e-mail, l'emplacement, un poste occupé, etc. à des parties indignes de confiance. Les sites Web tiers approuvés qui sont inclus dans la liste blanche de LinkedIn peuvent rendre invisible le « remplissage automatique avec LinkedIn », permettant ainsi aux membres de LinkedIn de remplir automatiquement leurs coordonnées à partir du profil en cliquant n'importe où sur le spam site Internet.
Une faille de Cross-Site Scripting permet aux pirates de modifier la vue du site Web
Script intersites ou XSS[3] est une vulnérabilité répandue qui peut affecter n'importe quelle application sur le Web. La faille est exploitée par des pirates informatiques de manière à ce qu'ils puissent facilement injecter du contenu dans un site Web et modifier sa vue d'affichage actuelle.
En cas de faille LinkedIn, des pirates ont réussi à exploiter un plugin AutoFill largement utilisé. Ce dernier permet aux utilisateurs de remplir des formulaires rapidement. LinkedIn a un domaine en liste blanche pour utiliser cette fonctionnalité (plus de 10 000 inclus dans le top 10 000 sites Web classés par Alexa), permettant ainsi à des tiers approuvés uniquement de remplir des informations de base à partir de leur profil.
Cependant, la faille XSS permet aux pirates informatiques de rendre le plugin sur l'ensemble du site Web rendant le « Saisie automatique avec LinkedIn » bouton[4] invisible. Par conséquent, si un internaute connecté à LinkedIn ouvre un site web affecté par une faille XSS, en cliquant sur un vide ou tout contenu positionné sur un tel domaine, divulgue involontairement des informations personnelles comme si vous cliquiez au « Saisie automatique avec LinkedIn" bouton.
En conséquence, le propriétaire du site Web peut récupérer un nom complet, un numéro de téléphone, une localisation, une adresse e-mail, un code postal, une entreprise, le poste occupé, l'expérience, etc. sans demander l'autorisation du visiteur. Comme Jack Cable l'a expliqué,
En effet, le bouton AutoFill peut être rendu invisible et s'étendre sur toute la page, obligeant un utilisateur à cliquer n'importe où pour envoyer les informations de l'utilisateur au site Web.
Un correctif pour la faille AutoFill a déjà été publié le 10 avril
Lors de la fondation, Jack Cable, le chercheur qui a trouvé la faille, a contacté LinkedIn et signalé la vulnérabilité XSS. En réponse, la société a publié un correctif le 10 avril et limité un petit nombre de sites Web approuvés.
Néanmoins, la vulnérabilité LinkedIn Autofill n'a pas été corrigée avec succès. Après une analyse approfondie, Cable a signalé qu'au moins un des domaines de la liste blanche est toujours vulnérable à l'exploit permettant aux criminels d'abuser du bouton AutoFill.
LinkedIn a été informé d'une vulnérabilité non corrigée, bien que la société n'ait pas répondu. Par conséquent, le chercheur a rendu la vulnérabilité publique. Après révélation, le personnel de LinkedIn n'a pas tardé à publier le correctif à plusieurs reprises :[5]
Nous avons immédiatement empêché l'utilisation non autorisée de cette fonctionnalité, une fois que nous avons été informés du problème. Bien que nous n'ayons vu aucun signe d'abus, nous travaillons continuellement pour garantir la protection des données de nos membres. Nous apprécions que le chercheur ait signalé cela de manière responsable, et notre équipe de sécurité continuera à rester en contact avec eux.