LinkedIn automātiskās aizpildes spraudnis, iespējams, ir atklājis lietotāja profila datus hakeriem
Facebook datu drošības skandāls[1] pašlaik tiek atstāta ēnā LinkedIn automātiskās aizpildes kļūdas dēļ, kas, iespējams, atklāj lietotāju personisko informāciju trešo pušu vietnēm.
Tika apsvērts LinkedIn, sociālais tīkls no profesionāļiem, kas pieder Microsoft kopš 2016. gada kā viens no profesionālākajiem sociālajiem tīkliem tīmeklī, kas neatšķiras no tā sākuma mērķis. Tomēr tai neizdevās izvairīties no datu pārkāpuma skandāla. 2018. gada 9. aprīlī pētnieks Džeks Kebls atklāja[2] nopietna kļūda LinkedIn automātiskās aizpildes spraudnī.
Trūkums, kas tiek saukts par starpvietņu skriptu (XSS), var atklāt pamatinformāciju no LinkedIn dalībnieku profiliem, piemēram, pilnu vārdu, e-pasta adresi, atrašanās vietu, ieņemamo amatu utt. uz neuzticamām pusēm. Apstiprinātas trešo pušu vietnes, kas ir iekļautas LinkedIn baltajā sarakstā, var padarīt “Automātisko aizpildīšanu ar LinkedIn” neredzamu, tādējādi LinkedIn dalībnieki automātiski aizpilda savu informāciju no profila, noklikšķinot uz jebkuras surogātpasta nosūtītās vietas vietne.
Vairāku vietņu skriptēšanas trūkums ļauj hakeriem mainīt vietnes skatu
Cross-Site skriptēšana vai XSS[3] ir plaši izplatīta ievainojamība, kas var ietekmēt jebkuru lietotni tīmeklī. Defektu izmanto hakeri, lai viņi varētu viegli ievietot saturu vietnē un mainīt tās pašreizējo displeja skatu.
LinkedIn defekta gadījumā hakeriem izdevās izmantot plaši izmantotu automātiskās aizpildes spraudni. Pēdējā ļauj lietotājiem ātri aizpildīt veidlapas. LinkedIn ir baltajā sarakstā iekļauts domēns, lai izmantotu šo funkcionalitāti (vairāk nekā 10 000 iekļauti 10 000 populārāko domēnu sarakstā tīmekļa vietnes, ko ranžējis Alexa), tādējādi ļaujot apstiprinātajām trešajām pusēm aizpildīt tikai pamatinformāciju no savām profils.
Tomēr XSS trūkums ļauj hakeriem atveidot spraudni visā vietnē “Automātiskā aizpilde ar LinkedIn” pogu[4] neredzams. Līdz ar to, ja interneta lietotājs, kas ir savienots ar LinkedIn, atver vietni, kuru skārusi XSS kļūda, noklikšķinot uz tukšs vai jebkāds saturs, kas atrodas šādā domēnā, netīši atklāj personas informāciju, it kā noklikšķinot ieslēgts “Automātiskā aizpilde, izmantojot LinkedIn” pogu.
Tā rezultātā vietnes īpašnieks var iegūt pilnu vārdu, tālruņa numuru, atrašanās vietu, e-pasta adresi, pasta indeksu, uzņēmumu, ieņemamo amatu, pieredzi utt. neprasot apmeklētāja atļauju. Kā paskaidroja Džeks Kebls,
Tas ir tāpēc, ka automātiskās aizpildes pogu var padarīt neredzamu un aptvert visu lapu, liekot lietotājam noklikšķināt jebkurā vietā, lai nosūtītu lietotāja informāciju uz vietni.
Automātiskās aizpildes defekta ielāps jau ir izdots 10. aprīlī
Pēc dibināšanas pētnieks Džeks Kabls, kurš atrada trūkumu, sazinājās ar LinkedIn un ziņoja par XSS ievainojamību. Atbildot uz to, uzņēmums 10. aprīlī izlaida ielāpu un ierobežoja nelielu apstiprināto vietņu skaitu.
Tomēr LinkedIn automātiskās aizpildes ievainojamība nav veiksmīgi izlabota. Pēc padziļinātas analīzes Cable ziņoja, ka vismaz viens no baltajā sarakstā iekļautajiem domēniem joprojām ir neaizsargāts pret ļaunprātīgu izmantošanu, kas ļauj noziedzniekiem ļaunprātīgi izmantot automātiskās aizpildes pogu.
LinkedIn ir informēts par neaizlabotu ievainojamību, lai gan uzņēmums nereaģēja. Līdz ar to pētnieks ievainojamību publiskoja. Pēc atklāšanas LinkedIn darbinieki ātri atkārtoti izlaida ielāpu:[5]
Tiklīdz bijām informēti par problēmu, mēs nekavējoties novērsām šīs funkcijas neatļautu izmantošanu. Lai gan mēs neesam redzējuši nekādas ļaunprātīgas izmantošanas pazīmes, mēs nepārtraukti strādājam, lai nodrošinātu mūsu dalībnieku datu aizsardzību. Mēs novērtējam, ka pētnieks atbildīgi ziņo par to, un mūsu drošības komanda turpinās ar viņiem sazināties.