Plugin LinkedIn AutoFill mungkin telah mengekspos data profil pengguna ke peretas
Skandal keamanan data Facebook[1] saat ini sedang dibayangi oleh kelemahan IsiOtomatis LinkedIn, yang mungkin mengekspos informasi pribadi pengguna ke situs web pihak ketiga.
LinkedIn, jejaring sosial dari para profesional milik Microsoft sejak 2016, telah dipertimbangkan sebagai salah satu jejaring sosial paling profesional di web yang tidak beranjak dari awalnya tujuan. Namun, itu tidak berhasil menghindari skandal pelanggaran data. Pada 9 April 2018 seorang peneliti Jack Cable mengungkapkan[2] cacat parah pada plugin IsiOtomatis LinkedIn.
Dijuluki sebagai cross-site scripting (XSS), cacat tersebut dapat mengekspos informasi dasar dari profil anggota LinkedIn, seperti nama lengkap, alamat email, lokasi, posisi yang dipegang, dll. kepada pihak-pihak yang tidak dapat dipercaya. Situs web pihak ketiga yang disetujui yang disertakan ke daftar putih LinkedIn dapat membuat "IsiOtomatis dengan LinkedIn" tidak terlihat, sehingga membuat anggota LinkedIn secara otomatis mengisi detail mereka dari profil dengan mengklik di mana saja di spam situs web.
Cacat Cross-Site Scripting memungkinkan peretas untuk mengubah tampilan situs web
Skrip Lintas Situs atau XSS[3] adalah kerentanan luas yang dapat memengaruhi aplikasi apa pun di web. Cacat ini dieksploitasi oleh peretas dengan cara mereka dapat dengan mudah menyuntikkan konten ke dalam situs web dan mengubah tampilan tampilannya saat ini.
Dalam kasus kekurangan LinkedIn, peretas berhasil mengeksploitasi plugin IsiOtomatis yang banyak digunakan. Yang terakhir memungkinkan pengguna untuk mengisi formulir dengan cepat. LinkedIn memiliki domain yang masuk daftar putih untuk menggunakan fungsi ini (lebih dari 10.000 termasuk dalam 10.000 teratas situs web yang diberi peringkat oleh Alexa), sehingga memungkinkan pihak ketiga yang disetujui hanya untuk mengisi informasi dasar dari mereka Profil.
Namun, kelemahan XSS memungkinkan peretas untuk merender plugin di seluruh situs web yang membuat “IsiOtomatis dengan LinkedIn” tombol[4] tak terlihat. Akibatnya, jika seorang netizen yang terhubung ke LinkedIn membuka situs web yang terpengaruh oleh cacat XSS, klik pada kosong atau konten apa pun yang ditempatkan pada domain tersebut, secara tidak sengaja mengungkapkan informasi pribadi seolah-olah mengklik pada “IsiOtomatis dengan LinkedIn" tombol.
Akibatnya, pemilik situs web dapat mengambil nama lengkap, nomor telepon, lokasi, alamat email, kode pos, perusahaan, posisi yang dijabat, pengalaman, dll. tanpa meminta izin pengunjung. Seperti yang dijelaskan Jack Cable,
Ini karena tombol IsiOtomatis dapat dibuat tidak terlihat dan menjangkau seluruh halaman, menyebabkan pengguna mengklik di mana saja untuk mengirim informasi pengguna ke situs web.
Patch untuk kekurangan AutoFill telah dikeluarkan pada 10 April
Setelah ditemukan, Jack Cable, peneliti yang menemukan kelemahan tersebut, menghubungi LinkedIn dan melaporkan kerentanan XSS. Sebagai tanggapan, perusahaan merilis tambalan pada 10 April dan membatasi sejumlah kecil situs web yang disetujui.
Namun demikian, kerentanan LinkedIn Autofill belum berhasil ditambal. Setelah analisis mendalam, Cable melaporkan bahwa setidaknya satu dari domain yang masuk daftar putih masih rentan terhadap eksploitasi yang memungkinkan penjahat menyalahgunakan tombol IsiOtomatis.
LinkedIn telah diberitahu tentang kerentanan yang belum ditambal, meskipun perusahaan tidak menanggapi. Akibatnya, peneliti membuat kerentanan publik. Setelah terungkap, staf LinkedIn dengan cepat merilis patch berulang kali:[5]
Kami segera mencegah penggunaan yang tidak sah dari fitur ini, setelah kami mengetahui masalah tersebut. Meskipun kami tidak melihat tanda-tanda penyalahgunaan, kami terus berupaya untuk memastikan data anggota kami tetap terlindungi. Kami menghargai peneliti yang bertanggung jawab melaporkan hal ini, dan tim keamanan kami akan terus berhubungan dengan mereka.