פגם בתוסף LinkedIn AutoFill אפשר להאקרים להדליף נתונים אישיים

click fraud protection

ייתכן שהתוסף מילוי אוטומטי של LinkedIn חשף נתוני פרופיל משתמש להאקרים

ייתכן שהפלאגין מילוי אוטומטי של LinkedIn דלף נתונים

שערוריית אבטחת המידע של פייסבוק[1] נמצא כעת בצל על ידי פגם המילוי האוטומטי של לינקדאין, שאולי חושף את המידע האישי של המשתמשים לאתרי צד שלישי.

לינקדאין, רשת חברתית של אנשי מקצוע השייכים למיקרוסופט מאז 2016, נחשבה כאחת הרשתות החברתיות המקצועיות ברשת שאינה יוצאת מהראשון שלה מַטָרָה. עם זאת, היא לא הצליחה להתחמק מהשערוריה של פרצת נתונים. ב-9 באפריל 2018 חוקר ג'ק קייבל חשף[2] פגם חמור בתוסף המילוי האוטומטי של לינקדאין.

הכשל מכונה סקריפטים חוצה אתרים (XSS), עלול לחשוף מידע בסיסי מהפרופילים של חברים בלינקדאין, כגון שם מלא, כתובת דוא"ל, מיקום, תפקיד שנערך וכו'. לגורמים לא אמינים. אתרי צד שלישי מאושרים הנכללים ברשימת הלבנים של LinkedIn יכולים להפוך את "מילוי אוטומטי עם LinkedIn" לבלתי נראה, ובכך לגרום לחברי LinkedIn למלא באופן אוטומטי את הפרטים שלהם מהפרופיל על ידי לחיצה בכל מקום על הספאם אתר אינטרנט.

פגם בסקריפט חוצה אתרים מאפשר להאקרים לשנות את תצוגת האתר

Cross-Site Scripting או XSS[3] היא פגיעות נרחבת שיכולה להשפיע על כל אפליקציה באינטרנט. הפגם מנוצל על ידי האקרים באופן שהם יכולים להחדיר בקלות תוכן לאתר ולשנות את תצוגת התצוגה הנוכחית שלו.

במקרה של פגם בלינקדאין, האקרים הצליחו לנצל תוסף מילוי אוטומטי בשימוש נרחב. האחרון מאפשר למשתמשים למלא טפסים במהירות. ללינקדאין יש דומיין ברשימת ההיתרים לשימוש בפונקציונליות זו (יותר מ-10,000 נכללים ב-10,000 המובילים אתרים המדורגים על ידי Alexa), ובכך מאפשרים לצדדים שלישיים מאושרים רק למלא מידע בסיסי מהם פּרוֹפִיל.

עם זאת, פגם ה-XSS מאפשר להאקרים לעבד את התוסף בכל האתר והופך את "מילוי אוטומטי עם לינקדאין" לַחְצָן[4] בלתי נראה. כתוצאה מכך, אם משתמש רשת שמחובר ללינקדאין פותח אתר שמושפע מפגם XSS, לחיצה על ריק או כל תוכן הממוקם בדומיין כזה, חושף בשוגג מידע אישי כאילו לוחץ עַל "מילוי אוטומטי עם לינקדאין" כפתור.

כתוצאה מכך, בעל האתר יכול לאחזר שם מלא, מספר טלפון, מיקום, כתובת דואר אלקטרוני, מיקוד, חברה, משרה, ניסיון וכו'. מבלי לבקש את רשות המבקר. כפי שג'ק קייבל הסביר,

הסיבה לכך היא שכפתור המילוי האוטומטי עלול להיעשות בלתי נראה ומשתרע על פני כל העמוד, מה שגורם למשתמש ללחוץ בכל מקום כדי לשלוח את המידע של המשתמש לאתר.

תיקון לליקוי במילוי אוטומטי כבר הוצא ב-10 באפריל

עם ההקמה, ג'ק קייבל, החוקר שמצא את הפגם, יצר קשר עם לינקדאין ודיווח על פגיעות ה-XSS. בתגובה, החברה פרסמה תיקון ב-10 באפריל והגבילה מספר קטן של אתרים מאושרים.

עם זאת, פגיעות המילוי האוטומטי של LinkedIn לא תוקנה בהצלחה. לאחר ניתוח מעמיק, Cable דיווח שלפחות אחד מהדומיינים ברשימת ההיתרים עדיין חשוף לניצול המאפשר לפושעים לעשות שימוש לרעה בכפתור המילוי האוטומטי.

לינקדאין קיבלה מידע על פגיעות שטרם תוקנה, למרות שהחברה לא הגיבה. כתוצאה מכך, החוקר פרסם את הפגיעות בפומבי. לאחר החשיפה, הצוות של לינקדאין מיהר לשחרר את התיקון שוב ושוב:[5]

מנענו מיד שימוש לא מורשה בתכונה זו, לאחר שנודע לנו על הבעיה. למרות שלא ראינו סימנים להתעללות, אנו פועלים ללא הרף כדי להבטיח שהנתונים של החברים שלנו יישארו מוגנים. אנו מעריכים את החוקר שדיווח על כך באחריות, וצוות האבטחה שלנו ימשיך לשמור איתם על קשר.