„LinkedIn“ automatinio pildymo papildinys galėjo atskleisti vartotojo profilio duomenis įsilaužėliams
„Facebook“ duomenų saugumo skandalas[1] šiuo metu yra šešėlyje dėl „LinkedIn“ automatinio užpildymo trūkumo, dėl kurio gali būti atskleista vartotojų asmeninė informacija trečiųjų šalių svetainėms.
Buvo svarstoma apie „Microsoft“ nuo 2016 m. priklausantį profesionalų socialinį tinklą „LinkedIn“. kaip vienas profesionaliausių socialinių tinklų internete, nenukrypstantis nuo pradinio tikslas. Tačiau jai nepavyko išvengti duomenų pažeidimo skandalo. 2018 m. balandžio 9 d. tyrėjas Jackas Cable'as atskleidė[2] rimtas „LinkedIn“ automatinio užpildymo papildinio trūkumas.
Pavadinta kaip scenarijus tarp svetainių (XSS), trūkumas gali atskleisti pagrindinę informaciją iš „LinkedIn“ narių profilių, pvz., vardą, pavardę, el. pašto adresą, vietą, užimamas pareigas ir kt. nepatikimoms partijoms. Patvirtintos trečiųjų šalių svetainės, įtrauktos į „LinkedIn“ baltąjį sąrašą, gali padaryti „AutoFill with LinkedIn“ nematomą, Taip „LinkedIn“ nariai automatiškai užpildo savo duomenis iš profilio, spustelėdami bet kurią nepageidaujamo pašto adresą Interneto svetainė.
Kelių svetainių scenarijų trūkumas leidžia įsilaužėliams keisti svetainės vaizdą
Kryžminis scenarijus arba XSS[3] yra plačiai paplitęs pažeidžiamumas, galintis paveikti bet kurią žiniatinklio programą. Šia klaida pasinaudoja įsilaužėliai taip, kad jie galėtų lengvai įterpti turinį į svetainę ir pakeisti dabartinį jos rodymo vaizdą.
„LinkedIn“ trūkumo atveju įsilaužėliams pavyko išnaudoti plačiai naudojamą „AutoFill“ papildinį. Pastaroji leidžia vartotojams greitai užpildyti formas. „LinkedIn“ turi domeną, įtrauktą į baltąjį sąrašą, kad galėtų naudoti šią funkciją (daugiau nei 10 000 įtrauktų į 10 000 geriausių svetainės, kurias reitingavo Alexa), todėl patvirtintos trečiosios šalys gali užpildyti tik pagrindinę informaciją iš savo profilis.
Tačiau XSS trūkumas leidžia įsilaužėliams pateikti papildinį visoje svetainėje „Automatinis užpildymas naudojant LinkedIn“ mygtuką[4] nematomas. Todėl, jei prie LinkedIn prisijungęs internautas atidaro svetainę, kurią paveikė XSS trūkumas, spustelėdami tuščias arba bet koks tokiame domene esantis turinys, netyčia atskleidžia asmeninę informaciją, tarsi spustelėtų įjungta „Automatinis užpildymas naudojant „LinkedIn“.“ mygtuką.
Dėl to svetainės savininkas gali gauti visą vardą, pavardę, telefono numerį, vietą, el. pašto adresą, pašto kodą, įmonę, užimamas pareigas, patirtį ir kt. neprašant lankytojo leidimo. Kaip paaiškino Džekas Kabelis,
Taip yra todėl, kad automatinio pildymo mygtukas gali būti nematomas ir apimti visą puslapį, todėl vartotojas spustelėja bet kur, kad nusiųstų vartotojo informaciją į svetainę.
Balandžio 10 d. jau buvo išleistas automatinio užpildymo trūkumo pataisymas
Įkūrimo metu trūkumą radęs tyrėjas Jackas Cable susisiekė su LinkedIn ir pranešė apie XSS pažeidžiamumą. Atsakydama į tai, bendrovė balandžio 10 d. išleido pataisą ir apribojo nedidelį patvirtintų svetainių skaičių.
Nepaisant to, „LinkedIn“ automatinio pildymo pažeidžiamumas nebuvo sėkmingai pataisytas. Po nuodugnios analizės „Cable“ pranešė, kad bent vienas iš baltojo sąrašo domenų vis dar yra pažeidžiamas dėl išnaudojimo, leidžiančio nusikaltėliams piktnaudžiauti automatinio pildymo mygtuku.
„LinkedIn“ buvo informuota apie nepataisytą pažeidžiamumą, nors bendrovė neatsakė. Todėl tyrėjas pažeidžiamumą paviešino. Gavęs apreiškimą, „LinkedIn“ darbuotojai ne kartą išleido pataisą:[5]
Kai tik sužinojome apie problemą, nedelsdami užkirtome kelią neteisėtam šios funkcijos naudojimui. Nors nematėme jokių piktnaudžiavimo požymių, nuolat stengiamės užtikrinti, kad mūsų narių duomenys būtų apsaugoti. Dėkojame už tai, kad tyrėjas atsakingai praneša apie tai, o mūsų saugos komanda ir toliau su jais palaikys ryšį.