लिंक्डइन ऑटोफिल प्लगइन ने हैकर्स के लिए उपयोगकर्ता प्रोफ़ाइल डेटा को उजागर किया हो सकता है
फेसबुक का डेटा सुरक्षा घोटाला[1] वर्तमान में लिंक्डइन के ऑटोफिल दोष द्वारा छाया में रखा जा रहा है, जो संभवतः उपयोगकर्ताओं की व्यक्तिगत जानकारी को तृतीय-पक्ष वेबसाइटों पर उजागर करता है।
लिंक्डइन, 2016 से Microsoft से संबंधित पेशेवरों का एक सामाजिक नेटवर्क माना जाता है वेब पर सबसे अधिक पेशेवर सामाजिक नेटवर्कों में से एक के रूप में जो अपने प्रारंभिक से विदा नहीं होता है प्रयोजन। हालांकि, यह डेटा उल्लंघन के घोटाले से बचने में कामयाब नहीं हुआ। 9 अप्रैल, 2018 को एक शोधकर्ता जैक केबल ने खुलासा किया[2] लिंक्डइन के ऑटोफिल प्लगइन में एक गंभीर दोष।
क्रॉस-साइट स्क्रिप्टिंग (XSS) के रूप में डब किया गया, दोष लिंक्डइन सदस्यों के प्रोफाइल से बुनियादी जानकारी को उजागर कर सकता है, जैसे कि पूरा नाम, ईमेल पता, स्थान, एक पद धारण, आदि। अविश्वसनीय पार्टियों के लिए। स्वीकृत तृतीय-पक्ष वेबसाइटें जो लिंक्डइन की श्वेतसूची में शामिल हैं, "लिंक्डइन के साथ ऑटोफिल" को अदृश्य बना सकती हैं, इस प्रकार लिंक्डइन सदस्य स्पैम पर कहीं भी क्लिक करके प्रोफ़ाइल से अपने विवरण स्वचालित रूप से भरते हैं वेबसाइट।
क्रॉस-साइट स्क्रिप्टिंग दोष हैकर्स को वेबसाइट के दृश्य को संशोधित करने की अनुमति देता है
क्रॉस-साइट स्क्रिप्टिंग या XSS[3] एक व्यापक भेद्यता है जो वेब पर किसी भी ऐप को प्रभावित कर सकती है। इस खामी का फायदा हैकर इस तरह उठाते हैं कि वे किसी वेबसाइट में आसानी से सामग्री डाल सकते हैं और इसके वर्तमान प्रदर्शन दृश्य को संशोधित कर सकते हैं।
लिंक्डइन दोष के मामले में, हैकर्स व्यापक रूप से उपयोग किए जाने वाले ऑटोफिल प्लगइन का फायदा उठाने में कामयाब रहे। उत्तरार्द्ध उपयोगकर्ताओं को जल्दी से फॉर्म भरने की अनुमति देता है। लिंक्डइन के पास इस कार्यक्षमता का उपयोग करने के लिए एक श्वेतसूचीबद्ध डोमेन है (शीर्ष 10,000 में 10,000 से अधिक शामिल हैं एलेक्सा द्वारा रैंक की गई वेबसाइटें), इस प्रकार स्वीकृत तृतीय पक्षों को केवल उनकी बुनियादी जानकारी भरने की अनुमति देता है प्रोफ़ाइल।
हालाँकि, XSS दोष हैकर्स को संपूर्ण वेबसाइट पर प्लगइन प्रस्तुत करने की अनुमति देता है जिससे "लिंक्डइन के साथ स्वत: भरण" बटन[4] अदृश्य। नतीजतन, अगर लिंक्डइन से जुड़ा कोई नेटिजन एक्सएसएस दोष से प्रभावित वेबसाइट खोलता है, तो एक पर क्लिक करें खाली या ऐसे डोमेन पर मौजूद कोई भी सामग्री, अनजाने में व्यक्तिगत जानकारी का खुलासा करती है जैसे कि क्लिक करना पर "लिंक्डइन के साथ स्वत: भरण""बटन।
परिणामस्वरूप, वेबसाइट का स्वामी एक पूरा नाम, फोन नंबर, स्थान, ईमेल पता, ज़िप कोड, कंपनी, धारित पद, अनुभव आदि प्राप्त कर सकता है। आगंतुक की अनुमति मांगे बिना। जैसा कि जैक केबल ने समझाया,
ऐसा इसलिए है क्योंकि स्वत: भरण बटन को अदृश्य बनाया जा सकता है और पूरे पृष्ठ को फैलाया जा सकता है, जिससे उपयोगकर्ता कहीं भी क्लिक करके उपयोगकर्ता की जानकारी वेबसाइट पर भेज सकता है।
स्वतः भरण दोष के लिए एक पैच 10 अप्रैल को पहले ही जारी किया जा चुका है
संस्थापक होने पर, जैक केबल, शोधकर्ता जिसने दोष पाया, ने लिंक्डइन से संपर्क किया और एक्सएसएस भेद्यता की सूचना दी। जवाब में, कंपनी ने 10 अप्रैल को एक पैच जारी किया और कुछ स्वीकृत वेबसाइटों को सीमित कर दिया।
फिर भी, लिंक्डइन ऑटोफिल भेद्यता को सफलतापूर्वक पैच नहीं किया गया है। एक गहन विश्लेषण के बाद, केबल ने बताया कि कम से कम एक श्वेतसूचीबद्ध डोमेन अभी भी शोषण के लिए असुरक्षित है, जिससे अपराधी ऑटोफिल बटन का दुरुपयोग कर सकते हैं।
लिंक्डइन को अप्रतिबंधित भेद्यता के बारे में सूचित किया गया है, हालांकि कंपनी ने कोई प्रतिक्रिया नहीं दी। नतीजतन, शोधकर्ता ने भेद्यता को सार्वजनिक कर दिया। रहस्योद्घाटन पर, लिंक्डइन के कर्मचारियों को बार-बार पैच जारी करने की जल्दी थी:[5]
एक बार जब हमें इस मुद्दे से अवगत कराया गया, तो हमने इस सुविधा के अनधिकृत उपयोग को तुरंत रोक दिया। हालांकि हमने दुरुपयोग के कोई संकेत नहीं देखे हैं, हम यह सुनिश्चित करने के लिए लगातार काम कर रहे हैं कि हमारे सदस्यों का डेटा सुरक्षित रहे। हम जिम्मेदारी से रिपोर्ट करने वाले शोधकर्ता की सराहना करते हैं, और हमारी सुरक्षा टीम उनके संपर्क में रहेगी।