LinkedIn AutoFill dodatak možda je izložio podatke korisničkog profila hakerima
Facebookov skandal o sigurnosti podataka[1] trenutačno je stavljen u sjenu LinkedIn-ovom greškom AutoFill, koja možda izlaže osobne podatke korisnika web stranicama trećih strana.
Razmatran je LinkedIn, društvena mreža profesionalaca koji pripadaju Microsoftu od 2016. godine kao jedna od najprofesionalnijih društvenih mreža na webu koja ne odstupa od svoje početne Svrha. Međutim, nije uspjelo izbjeći skandal o kršenju podataka. 9. travnja 2018. otkrio je istraživač Jack Cable[2] ozbiljan nedostatak u LinkedIn-ovom dodatku AutoFill.
Nazvan skriptiranjem na više web-mjesta (XSS), nedostatak bi mogao otkriti osnovne informacije iz profila članova LinkedIn-a, kao što su puno ime, adresa e-pošte, lokacija, pozicija itd. nepovjerljivim strankama. Odobrena web-mjesta trećih strana koja su uključena na LinkedInov popis dopuštenih mogu učiniti "AutoFill with LinkedIn" nevidljivim, na taj način članovi LinkedIn-a automatski popunjavaju svoje podatke iz profila klikom bilo gdje na neželjenu poštu web stranica.
Greška skriptiranja na više web-mjesta omogućuje hakerima da modificiraju prikaz web stranice
Cross-Site Scripting ili XSS[3] je široko rasprostranjena ranjivost koja može utjecati na bilo koju aplikaciju na webu. Hakeri iskorištavaju nedostatak na način na koji mogu lako ubaciti sadržaj u web stranicu i modificirati njezin trenutni prikaz prikaza.
U slučaju LinkedIn propusta, hakeri su uspjeli iskoristiti široko korišteni dodatak AutoFill. Potonji omogućuje korisnicima da brzo popune obrasce. LinkedIn ima domenu na popisu dopuštenih za korištenje ove funkcije (više od 10.000 uključeno u prvih 10.000 web-mjesta rangiranih od strane Alexa), dopuštajući tako odobrenim trećim stranama da ispune samo osnovne podatke svojih profil.
Međutim, XSS nedostatak omogućuje hakerima da renderiraju dodatak na cijeloj web stranici koja ga čini “Automatsko popunjavanje s LinkedInom” dugme[4] nevidljiv. Posljedično, ako netizen koji je povezan s LinkedInom otvori web stranicu zahvaćenu XSS greškom, klikom na prazan ili bilo koji sadržaj pozicioniran na takvoj domeni, nenamjerno otkriva osobne podatke kao da klikne na “Automatsko popunjavanje s LinkedInom" dugme.
Kao posljedica toga, vlasnik web stranice može dohvatiti puno ime, telefonski broj, lokaciju, adresu e-pošte, poštanski broj, tvrtku, radno mjesto, iskustvo itd. bez traženja dopuštenja posjetitelja. Kao što je Jack Cable objasnio,
To je zato što bi se gumb AutoFill mogao učiniti nevidljivim i obuhvaćati cijelu stranicu, uzrokujući da korisnik klikne bilo gdje da pošalje podatke korisnika na web stranicu.
Zakrpa za propust AutoFill već je izdana 10. travnja
Nakon osnivanja, Jack Cable, istraživač koji je pronašao nedostatak, kontaktirao je LinkedIn i prijavio XSS ranjivost. Kao odgovor, tvrtka je izdala zakrpu 10. travnja i ograničila mali broj odobrenih web stranica.
Ipak, ranjivost LinkedIn Autofill nije uspješno zakrpljena. Nakon detaljne analize, Cable je izvijestio da je barem jedna od domena s popisa dopuštenih još uvijek ranjiva na eksploataciju koja kriminalcima omogućuje zlouporabu gumba AutoFill.
LinkedIn je obaviješten o nezakrpljenoj ranjivosti, iako tvrtka nije odgovorila. Posljedično, istraživač je objavio ranjivost. Nakon otkrića, LinkedInovo osoblje je brzo izdalo zakrpu u više navrata:[5]
Odmah smo spriječili neovlašteno korištenje ove značajke, nakon što smo bili upoznati s problemom. Iako nismo vidjeli znakove zlouporabe, kontinuirano radimo na tome da podaci naših članova ostanu zaštićeni. Cijenimo istraživača što je to odgovorno izvijestio, a naš će sigurnosni tim i dalje biti u kontaktu s njima.