LinkedIn AutoFill მოდულმა შესაძლოა ჰაკერებს ჰაკერების წინაშე ჰქონოდა მომხმარებლის პროფილის მონაცემები
ფეისბუქის მონაცემთა უსაფრთხოების სკანდალი[1] ამჟამად შუქდება LinkedIn-ის ავტომატური შევსების ხარვეზის გამო, რომელიც შესაძლოა მომხმარებელთა პერსონალურ ინფორმაციას მესამე მხარის ვებსაიტებს ავლენს.
განიხილება LinkedIn, სოციალური ქსელი პროფესიონალებისგან, რომლებიც ეკუთვნის Microsoft-ს 2016 წლიდან როგორც ერთ-ერთი ყველაზე პროფესიონალური სოციალური ქსელი ინტერნეტში, რომელიც არ შორდება საწყისს დანიშნულება. თუმცა, მან ვერ მოახერხა მონაცემთა დარღვევის სკანდალის თავიდან აცილება. 2018 წლის 9 აპრილს მკვლევარმა ჯეკ კეიბმა გამოავლინა[2] LinkedIn-ის AutoFill მოდულის სერიოზული ხარვეზი.
ნაკლოვანებამ, სახელწოდებით cross-site scripting (XSS), შეიძლება გამოავლინოს ძირითადი ინფორმაცია LinkedIn-ის წევრების პროფილებიდან, როგორიცაა სრული სახელი, ელექტრონული ფოსტის მისამართი, მდებარეობა, დაკავებული თანამდებობა და ა.შ. არასანდო მხარეებს. მესამე მხარის დამტკიცებულ ვებსაიტებს, რომლებიც შედის LinkedIn-ის თეთრ სიაში, შეუძლიათ "ავტომატური შევსება LinkedIn-ით" გახადონ უხილავი, რითაც LinkedIn-ის წევრები ავტომატურად შეავსებენ თავიანთ დეტალებს პროფილიდან სპამის ნებისმიერ ადგილას დაწკაპუნებით ვებგვერდი.
Cross-Site Scripting ხარვეზი საშუალებას აძლევს ჰაკერებს შეცვალონ ვებსაიტის ხედვა
Cross-Site Scripting ან XSS[3] არის ფართოდ გავრცელებული დაუცველობა, რომელსაც შეუძლია გავლენა მოახდინოს ნებისმიერ აპლიკაციაზე ინტერნეტში. ხარვეზი გამოიყენება ჰაკერების მიერ ისე, რომ მათ შეუძლიათ ადვილად შეიყვანონ შინაარსი ვებსაიტში და შეცვალონ მისი ამჟამინდელი ჩვენების ხედი.
LinkedIn-ის ხარვეზის შემთხვევაში, ჰაკერებმა მოახერხეს ფართოდ გამოყენებული AutoFill მოდულის გამოყენება. ეს უკანასკნელი მომხმარებლებს საშუალებას აძლევს სწრაფად შეავსონ ფორმები. LinkedIn-ს აქვს თეთრ სიაში დომენი ამ ფუნქციის გამოსაყენებლად (10000-ზე მეტი შედის ტოპ 10000-ში Alexa-ს მიერ რეიტინგული ვებსაიტები), რითაც დამტკიცებულ მესამე მხარეებს საშუალებას აძლევს შეავსონ მხოლოდ ძირითადი ინფორმაცია მათგან პროფილი.
ამასთან, XSS ხარვეზი საშუალებას აძლევს ჰაკერებს განათავსონ მოდული მთელ ვებსაიტზე, რომელიც ქმნის მას "ავტომატური შევსება LinkedIn-ით" ღილაკი[4] უხილავი. შესაბამისად, თუ ნეტიზენი, რომელიც დაკავშირებულია LinkedIn-თან, ხსნის ვებსაიტს, რომელიც გავლენას ახდენს XSS ხარვეზზე, დააწკაპუნეთ ცარიელი ან ასეთ დომენზე განთავსებული ნებისმიერი კონტენტი, უნებლიეთ ავრცელებს პირად ინფორმაციას, თითქოს დაწკაპუნება on ”ავტომატური შევსება LinkedIn-ით”ღილაკი.
შედეგად, ვებსაიტის მფლობელს შეუძლია მიიღოს სრული სახელი, ტელეფონის ნომერი, მდებარეობა, ელექტრონული ფოსტის მისამართი, ZIP კოდი, კომპანია, დაკავებული თანამდებობა, გამოცდილება და ა.შ. სტუმრის ნებართვის მოთხოვნის გარეშე. როგორც ჯეკ კეიბლმა განმარტა,
ეს იმის გამო ხდება, რომ ავტომატური შევსების ღილაკი შეიძლება გახდეს უხილავი და მოიცავდეს მთელ გვერდს, რის შედეგადაც მომხმარებელი დააწკაპუნებს სადმე, რათა გაგზავნოს მომხმარებლის ინფორმაცია ვებსაიტზე.
ავტომატური შევსების ხარვეზის პატჩი უკვე გაიცა 10 აპრილს
დაარსებისთანავე, ჯეკ კეიბლი, მკვლევარი, რომელმაც აღმოაჩინა ხარვეზი, დაუკავშირდა LinkedIn-ს და შეატყობინა XSS დაუცველობის შესახებ. საპასუხოდ, კომპანიამ გამოუშვა პატჩი 10 აპრილს და შეზღუდა დამტკიცებული ვებსაიტების მცირე რაოდენობა.
მიუხედავად ამისა, LinkedIn Autofill დაუცველობა წარმატებით არ დაყენებულა. სიღრმისეული ანალიზის შემდეგ, კეიბლმა იტყობინება, რომ თეთრ სიაში მყოფი დომენებიდან ერთი მაინც დაუცველია იმ ექსპლოიტის მიმართ, რომელიც კრიმინალებს საშუალებას აძლევს ბოროტად გამოიყენონ AutoFill ღილაკი.
LinkedIn-მა ინფორმირებულია გაუხსნელი დაუცველობის შესახებ, თუმცა კომპანიამ არ უპასუხა. შესაბამისად, მკვლევარმა დაუცველობა საჯარო გახადა. გამოცხადების შემდეგ, LinkedIn-ის თანამშრომლებმა სწრაფად გამოუშვეს პატჩი არაერთხელ:[5]
ჩვენ მაშინვე აღვკვეთეთ ამ ფუნქციის არაავტორიზებული გამოყენება, მას შემდეგ რაც შევიტყვეთ ამ საკითხის შესახებ. მიუხედავად იმისა, რომ ჩვენ არ ვნახეთ შეურაცხყოფის ნიშნები, ჩვენ მუდმივად ვმუშაობთ იმისათვის, რომ ჩვენი წევრების მონაცემები დაცული იყოს. ჩვენ ვაფასებთ მკვლევარს ამის შესახებ პასუხისმგებლობით მოხსენებას და ჩვენი უსაფრთხოების გუნდი გააგრძელებს მათთან კავშირს.