LinkedIn AutoFillプラグインは、ユーザープロファイルデータをハッカーに公開した可能性があります
Facebookのデータセキュリティスキャンダル[1] 現在、LinkedInのAutoFillの欠陥により、ユーザーの個人情報がサードパーティのWebサイトに公開される可能性があります。
2016年からマイクロソフトに所属する専門家によるソーシャルネットワークであるLinkedInが検討されています その当初から逸脱しないウェブ上で最も専門的なソーシャルネットワークの1つとして 目的。 しかし、それはデータ侵害のスキャンダルを回避することができませんでした。 2018年4月9日、研究者のジャックケーブルが明らかにしました[2] LinkedInのAutoFillプラグインに重大な欠陥があります。
クロスサイトスクリプティング(XSS)と呼ばれるこの欠陥により、LinkedInメンバーのプロファイルから、氏名、電子メールアドレス、場所、役職などの基本情報が公開される可能性があります。 信頼できない当事者に。 LinkedInのホワイトリストに含まれている承認済みのサードパーティのWebサイトは、「AutoFillwithLinkedIn」を非表示にすることができます。 したがって、LinkedInメンバーは、スパムの任意の場所をクリックして、プロファイルから詳細を自動的に入力するようになります。 Webサイト。
クロスサイトスクリプティングの欠陥により、ハッカーはWebサイトのビューを変更できます
クロスサイトスクリプティングまたはXSS[3] は広範囲にわたる脆弱性であり、Web上のすべてのアプリに影響を与える可能性があります。 この欠陥は、ハッカーがWebサイトにコンテンツを簡単に挿入し、現在の表示ビューを変更できる方法で悪用されます。
LinkedInの欠陥の場合、ハッカーは広く使用されているAutoFillプラグインを悪用することに成功しました。 後者を使用すると、ユーザーはフォームにすばやく入力できます。 LinkedInには、この機能を使用するためのホワイトリストに登録されたドメインがあります(上位10,000に含まれる10,000以上) Alexaによってランク付けされたWebサイト)、したがって、承認されたサードパーティは、 プロフィール。
ただし、XSSの欠陥により、ハッカーはWebサイト全体にプラグインをレンダリングして
「LinkedInのオートフィル」 ボタン[4] 見えない。 したがって、LinkedInに接続しているネチズンが、XSSの欠陥の影響を受けるWebサイトを開いた場合は、 空またはそのようなドメインに配置されたコンテンツは、クリックしたかのように意図せずに個人情報を開示します の上 「LinkedInのオートフィル" ボタン。その結果、Webサイトの所有者は、氏名、電話番号、場所、電子メールアドレス、郵便番号、会社、役職、経験などを取得できます。 訪問者の許可を求めることなく。 ジャックケーブルが説明したように、
これは、[オートフィル]ボタンが非表示になり、ページ全体にまたがって、ユーザーが任意の場所をクリックしてユーザーの情報をWebサイトに送信する可能性があるためです。
オートフィルの欠陥のパッチはすでに4月10日に発行されています
設立時に、欠陥を発見した研究者のジャックケーブルがLinkedInに連絡し、XSSの脆弱性を報告しました。 これを受けて、同社は4月10日にパッチをリリースし、承認されたWebサイトの数を制限しました。
それにもかかわらず、LinkedInAutofillの脆弱性は正常にパッチされていません。 綿密な分析の結果、ケーブルは、ホワイトリストに登録されたドメインの少なくとも1つがまだエクスプロイトに対して脆弱であり、犯罪者がオートフィルボタンを悪用できることを報告しました。
LinkedInはパッチが適用されていない脆弱性について通知を受けていますが、同社は対応していません。 その結果、研究者は脆弱性を公開しました。 明らかになると、LinkedInのスタッフはすぐにパッチを繰り返しリリースしました。[5]
この問題に気づいたら、すぐにこの機能の不正使用を防止しました。 不正使用の兆候は見られませんが、メンバーのデータを保護するために継続的に取り組んでいます。 研究者が責任を持ってこれを報告してくれたことに感謝します。私たちのセキュリティチームは引き続き彼らと連絡を取り合います。