LinkedIn AutoFill 플러그인 결함으로 해커가 개인 데이터 유출 가능

LinkedIn AutoFill 플러그인이 사용자 프로필 데이터를 해커에게 노출했을 수 있음

LinkedIn AutoFill 플러그인이 데이터를 유출했을 수 있습니다.

페이스북의 데이터 보안 스캔들[1] 현재 LinkedIn의 AutoFill 결함으로 인해 그늘에 가려져 있으며, 사용자의 개인 정보가 타사 웹사이트에 노출될 수 있습니다.

2016년부터 Microsoft에 속한 전문가들의 소셜 네트워크인 LinkedIn은 웹에서 가장 전문적인 소셜 네트워크 중 하나로 초기에서 벗어나지 않습니다. 목적. 그러나 데이터 유출 스캔들을 피하지는 못했다. 2018년 4월 9일 잭 케이블 연구원이 밝혔습니다.[2] LinkedIn AutoFill 플러그인의 심각한 결함.

XSS(교차 사이트 스크립팅)로 명명된 이 결함은 전체 이름, 이메일 주소, 위치, 보유 직위 등과 같은 LinkedIn 회원 프로필의 기본 정보를 노출할 수 있습니다. 신뢰할 수 없는 당사자에게. LinkedIn의 화이트리스트에 포함된 승인된 타사 웹사이트는 "LinkedIn으로 자동 완성"을 보이지 않게 렌더링할 수 있습니다. 따라서 LinkedIn 회원은 스팸 메일의 아무 곳이나 클릭하여 프로필의 세부 정보를 자동으로 채우게 됩니다. 웹사이트.

Cross-Site Scripting 결함으로 해커가 웹사이트 보기를 수정할 수 있음

사이트 간 스크립팅 또는 XSS[3] 웹의 모든 앱에 영향을 줄 수 있는 광범위한 취약점입니다. 이 결함은 해커가 웹사이트에 콘텐츠를 쉽게 삽입하고 현재 표시 보기를 수정할 수 있는 방식으로 악용됩니다.

LinkedIn 결함의 경우 해커는 널리 사용되는 AutoFill 플러그인을 악용했습니다. 후자를 사용하면 사용자가 양식을 빠르게 채울 수 있습니다. LinkedIn에는 이 기능을 사용할 수 있는 허용된 도메인이 있습니다(상위 10,000개에 10,000개 이상 포함 Alexa에 의해 순위가 매겨진 웹사이트), 따라서 승인된 제3자는 자신의 웹사이트에서 기본 정보만 입력할 수 있습니다. 프로필.

그러나 XSS 결함은 해커가 전체 웹사이트에서 플러그인을 렌더링하여

"LinkedIn으로 자동 완성" 단추[4] 보이지 않는. 결과적으로 LinkedIn에 연결된 네티즌이 XSS 결함의 영향을 받는 웹사이트를 열면 비어 있거나 해당 도메인에 있는 모든 콘텐츠는 클릭하는 것처럼 의도하지 않게 개인 정보를 공개합니다. 켜짐 "LinkedIn으로 자동 완성" 버튼.

결과적으로 웹사이트 소유자는 성명, 전화번호, 위치, 이메일 주소, 우편번호, 회사, 보유 직위, 경험 등을 검색할 수 있습니다. 방문자의 허락을 구하지 않고. 잭 케이블이 설명했듯이,

자동완성 버튼이 보이지 않고 전체 페이지에 걸쳐 있어 사용자가 아무 곳이나 클릭하여 웹사이트로 사용자 정보를 보낼 수 있기 때문입니다.

AutoFill 결함에 대한 패치는 이미 4월 10일에 발행되었습니다.

설립 당시 결함을 발견한 연구원 Jack Cable은 LinkedIn에 연락하여 XSS 취약점을 보고했습니다. 이에 대해 회사는 4월 10일 패치를 발표하고 승인된 소수의 웹사이트를 제한했습니다.

그럼에도 불구하고 LinkedIn Autofill 취약점은 성공적으로 패치되지 않았습니다. Cable은 심층 분석 후 허용 목록에 있는 도메인 중 하나 이상이 범죄자가 AutoFill 버튼을 오용할 수 있는 익스플로잇에 여전히 취약하다고 보고했습니다.

LinkedIn은 패치되지 않은 취약점에 대한 정보를 받았지만 회사는 응답하지 않았습니다. 결과적으로 연구원은 취약점을 공개했습니다. 폭로 직후 LinkedIn 직원은 신속하게 패치를 반복해서 발표했습니다.[5]

문제를 인지한 즉시 이 기능의 무단 사용을 방지했습니다. 악용의 징후는 발견되지 않았지만 회원의 데이터를 보호하기 위해 지속적으로 노력하고 있습니다. 책임 있게 보고해 주신 연구원에게 감사드리며, 보안 팀은 계속해서 그들과 연락할 것입니다.