Il plug-in di riempimento automatico di LinkedIn potrebbe aver esposto i dati del profilo utente agli hacker
Lo scandalo della sicurezza dei dati di Facebook[1] è attualmente messo in ombra dal difetto di riempimento automatico di LinkedIn, che potrebbe esporre le informazioni personali degli utenti a siti Web di terze parti.
È stato preso in considerazione LinkedIn, social network di professionisti che appartengono a Microsoft dal 2016, come uno dei social network più professionali del web che non si discosta dalla sua iniziale scopo. Tuttavia, non è riuscita a sottrarsi allo scandalo di una violazione dei dati. Il 9 aprile 2018 un ricercatore Jack Cable ha rivelato[2] un grave difetto nel plug-in di riempimento automatico di LinkedIn.
Soprannominato cross-site scripting (XSS), il difetto potrebbe esporre le informazioni di base dai profili dei membri di LinkedIn, come nome completo, indirizzo e-mail, posizione, posizione ricoperta, ecc. a soggetti inaffidabili. I siti Web di terze parti approvati inclusi nella whitelist di LinkedIn possono rendere invisibile "Compilazione automatica con LinkedIn", facendo così in modo che i membri di LinkedIn inseriscano automaticamente i loro dettagli dal profilo facendo clic in qualsiasi punto dello spam sito web.
Il difetto di Cross-Site Scripting consente agli hacker di modificare la visualizzazione del sito web
Scripting tra siti o XSS[3] è una vulnerabilità diffusa che può interessare qualsiasi app sul web. Il difetto viene sfruttato dagli hacker in modo che possano facilmente iniettare contenuti in un sito Web e modificarne la visualizzazione corrente.
In caso di falla di LinkedIn, gli hacker sono riusciti a sfruttare un plug-in di riempimento automatico ampiamente utilizzato. Quest'ultimo consente agli utenti di compilare rapidamente i moduli. LinkedIn ha un dominio autorizzato per utilizzare questa funzionalità (più di 10.000 inclusi tra i primi 10.000 siti web classificati da Alexa), consentendo così a terze parti approvate di inserire solo informazioni di base dai loro profilo.
Tuttavia, il difetto XSS consente agli hacker di eseguire il rendering del plug-in sull'intero sito Web rendendo il "Compilazione automatica con LinkedIn" pulsante[4] invisibile. Di conseguenza, se un netizen connesso a LinkedIn apre un sito web affetto da difetto XSS, cliccando su vuoto o qualsiasi contenuto posizionato su tale dominio, rivela involontariamente informazioni personali come se si cliccasse in poi "Compilazione automatica con LinkedInpulsante ".
Di conseguenza, il proprietario del sito Web può recuperare nome completo, numero di telefono, posizione, indirizzo e-mail, codice postale, azienda, posizione ricoperta, esperienza, ecc. senza chiedere il permesso del visitatore. Come ha spiegato Jack Cable,
Questo perché il pulsante di Compilazione automatica potrebbe essere reso invisibile e occupare l'intera pagina, facendo sì che un utente faccia clic in qualsiasi punto per inviare le informazioni dell'utente al sito web.
Una patch per il difetto di riempimento automatico è già stata rilasciata il 10 aprile
Dopo la fondazione, Jack Cable, il ricercatore che ha scoperto il difetto, ha contattato LinkedIn e ha segnalato la vulnerabilità XSS. In risposta, la società ha rilasciato una patch il 10 aprile e ha limitato un numero limitato di siti Web approvati.
Tuttavia, la vulnerabilità di riempimento automatico di LinkedIn non è stata corretta. Dopo un'analisi approfondita, Cable ha riferito che almeno uno dei domini nella whitelist è ancora vulnerabile all'exploit che consente ai criminali di abusare del pulsante di riempimento automatico.
LinkedIn è stato informato della vulnerabilità senza patch, sebbene la società non abbia risposto. Di conseguenza, il ricercatore ha reso pubblica la vulnerabilità. Dopo la rivelazione, lo staff di LinkedIn si è affrettato a rilasciare ripetutamente la patch:[5]
Abbiamo immediatamente impedito l'uso non autorizzato di questa funzione, una volta che siamo stati informati del problema. Sebbene non abbiamo riscontrato segni di abuso, lavoriamo continuamente per garantire che i dati dei nostri membri rimangano protetti. Apprezziamo il ricercatore che ci ha segnalato responsabilmente e il nostro team di sicurezza continuerà a tenersi in contatto con loro.