Előfordulhat, hogy a LinkedIn AutoFill beépülő modul felhasználói profiladatokat tett közzé a hackerek számára
A Facebook adatbiztonsági botránya[1] jelenleg árnyékba kerül a LinkedIn automatikus kitöltési hibája miatt, amely felteheti a felhasználók személyes adatait harmadik felek webhelyeinek.
Megfontolásra került a LinkedIn, a 2016 óta a Microsofthoz tartozó szakemberek közösségi hálózata mint az egyik legprofesszionálisabb közösségi hálózat az interneten, amely nem tér el az eredetitől célja. Az adatszivárgás botrányát azonban nem sikerült kikerülnie. 2018. április 9-én Jack Cable kutató felfedte[2] súlyos hiba a LinkedIn AutoFill beépülő moduljában.
A cross-site scripting-nek (XSS) elnevezett hiba felfedheti a LinkedIn-tagok profiljából származó alapvető információkat, például teljes nevet, e-mail-címet, tartózkodási helyet, betöltött pozíciót stb. megbízhatatlan feleknek. A LinkedIn engedélyezőlistáján szereplő, jóváhagyott harmadik felek webhelyei láthatatlanná tehetik az „AutoFill with LinkedIn” funkciót, így a LinkedIn-tagok automatikusan kitöltik adataikat a profilból, ha rákattintnak a kéretlen üzenetre weboldal.
A Cross-Site Scripting hibája lehetővé teszi a hackerek számára, hogy módosítsák a webhely nézetét
Cross-Site Scripting vagy XSS[3] egy széles körben elterjedt biztonsági rés, amely az interneten található bármely alkalmazást érintheti. A hibát a hackerek úgy használják ki, hogy könnyen beilleszthetnek tartalmat egy webhelyre, és módosíthatják annak jelenlegi megjelenítési nézetét.
LinkedIn hiba esetén a hackereknek sikerült kihasználniuk egy széles körben használt AutoFill bővítményt. Ez utóbbi lehetővé teszi a felhasználók számára az űrlapok gyors kitöltését. A LinkedIn egy engedélyezőlistán szereplő domainnel rendelkezik ennek a funkciónak a használatához (több mint 10 000 szerepel a legjobb 10 000 között Alexa által rangsorolt webhelyek), így lehetővé teszi a jóváhagyott harmadik feleknek, hogy csak az alapvető információkat töltsék ki a saját webhelyükről profil.
Az XSS hiba azonban lehetővé teszi a hackerek számára, hogy a bővítményt a teljes webhelyen megjelenítsék, így a „Automatikus kitöltés LinkedInnel” gomb[4] láthatatlan. Következésképpen, ha a LinkedInhez csatlakozó netező megnyit egy XSS-hiba által érintett webhelyet, rákattint egy üres vagy egy ilyen domainen elhelyezett tartalom, akaratlanul is nyilvánosságra hozza a személyes adatokat, mintha rákattintana tovább „Automatikus kitöltés a LinkedIn segítségével” gombot.
Ennek következtében a weboldal tulajdonosa lekérheti a teljes nevet, telefonszámot, helyet, e-mail címet, irányítószámot, céget, betöltött pozíciót, tapasztalatot stb. látogató engedélye nélkül. Ahogy Jack Cable elmagyarázta,
Ennek az az oka, hogy az Automatikus kitöltés gomb láthatatlanná tehető, és lefedheti az egész oldalt, így a felhasználó bárhová kattinthat, hogy elküldje a felhasználó adatait a webhelynek.
Április 10-én már kiadtak egy javítást az AutoFill hibájára
Az alapításkor Jack Cable, a hibát megtaláló kutató felvette a kapcsolatot a LinkedInnel, és bejelentette az XSS sebezhetőségét. Válaszul a vállalat április 10-én kiadott egy javítást, és korlátozta néhány jóváhagyott webhelyet.
Ennek ellenére a LinkedIn automatikus kitöltési sebezhetőségét nem sikerült javítani. Egy alapos elemzést követően a Cable arról számolt be, hogy az engedélyezési listán szereplő domainek közül legalább egy továbbra is sebezhető az Automatikus kitöltés gombbal való visszaélést lehetővé tévő bűnözők számára.
A LinkedIn-t értesítették a kijavítatlan sérülékenységről, bár a cég nem válaszolt. Következésképpen a kutató nyilvánosságra hozta a sebezhetőséget. Amikor kiderült, a LinkedIn munkatársai gyorsan kiadták a javítást:[5]
Azonnal megakadályoztuk ennek a funkciónak a jogosulatlan használatát, amint tudomást szereztünk a problémáról. Bár nem tapasztaltunk visszaélésre utaló jeleket, folyamatosan dolgozunk azon, hogy tagjaink adatait védjük. Nagyra értékeljük a kutató felelősségteljes jelentését, és biztonsági csapatunk továbbra is tartani fogja velük a kapcsolatot.