LinkedIn AutoFill-plugin kan ha eksponert brukerprofildata for hackere
Facebooks datasikkerhetsskandale[1] blir for tiden satt i skyggen av LinkedIns AutoFill-feil, som muligens eksponerer brukernes personlige opplysninger til tredjeparts nettsteder.
LinkedIn, et sosialt nettverk fra fagfolk som har tilhørt Microsoft siden 2016, har blitt vurdert som et av de mest profesjonelle sosiale nettverkene på nettet som ikke avviker fra det opprinnelige hensikt. Den klarte imidlertid ikke å unngå skandalen om et datainnbrudd. 9. april 2018 avslørte en forsker Jack Cable[2] en alvorlig feil i LinkedIns AutoFill-plugin.
Kallest som cross-site scripting (XSS), kan feilen avsløre grunnleggende informasjon fra LinkedIn-medlemmers profiler, for eksempel fullt navn, e-postadresse, plassering, en stilling, etc. til upålitelige parter. Godkjente tredjepartsnettsteder som er inkludert i LinkedIns hviteliste kan gjøre «Autofyll med LinkedIn» usynlig, og dermed få LinkedIn-medlemmer til å automatisk fylle ut sine detaljer fra profilen ved å klikke hvor som helst på spammet nettsted.
Skriptfeil på tvers av nettsteder lar hackere endre nettstedets visning
Cross-Site Scripting eller XSS[3] er en utbredt sårbarhet som kan påvirke enhver app på nettet. Feilen utnyttes av hackere på en måte de enkelt kan injisere innhold på et nettsted og endre den nåværende visningen.
I tilfelle LinkedIn-feil, klarte hackere å utnytte en mye brukt AutoFill-plugin. Sistnevnte lar brukere fylle ut skjemaer raskt. LinkedIn har et hvitelistet domene for å bruke denne funksjonaliteten (mer enn 10 000 inkludert i topp 10 000 nettsteder rangert av Alexa), slik at godkjente tredjeparter kun kan fylle ut grunnleggende informasjon fra deres profil.
XSS-feilen lar imidlertid hackere gjengi plugin-en på hele nettstedet som gjør det "Autofyll med LinkedIn" knapp[4] usynlig. Følgelig, hvis en nettbruker som er koblet til LinkedIn åpner et nettsted som er berørt av XSS-feil, klikker du på en tom eller noe innhold plassert på et slikt domene, avslører utilsiktet personlig informasjon som om du klikker på "Autofyll med LinkedIn"-knappen.
Som en konsekvens kan eieren av nettstedet hente fullt navn, telefonnummer, plassering, e-postadresse, postnummer, firma, stilling, erfaring osv. uten å spørre om besøkendes tillatelse. Som Jack Cable forklarte,
Dette er fordi Autofyll-knappen kan gjøres usynlig og spenner over hele siden, noe som fører til at en bruker klikker hvor som helst for å sende brukerens informasjon til nettstedet.
En oppdatering for AutoFill-feil er allerede utstedt 10. april
Ved grunnleggelsen kontaktet Jack Cable, forskeren som fant feilen, LinkedIn og rapporterte XSS-sårbarheten. Som svar ga selskapet ut en oppdatering 10. april og begrenset et lite antall godkjente nettsteder.
Likevel har ikke LinkedIn Autofill-sårbarheten blitt rettet. Etter en grundig analyse rapporterte Cable at minst ett av de hvitelistede domenene fortsatt er sårbart for utnyttelsen som lar kriminelle misbruke AutoFill-knappen.
LinkedIn har blitt informert om uopprettet sårbarhet, selv om selskapet ikke svarte. Derfor offentliggjorde forskeren sårbarheten. Etter avsløring var LinkedIns ansatte raske til å gi ut oppdateringen gjentatte ganger:[5]
Vi forhindret umiddelbart uautorisert bruk av denne funksjonen etter at vi ble gjort oppmerksomme på problemet. Selv om vi ikke har sett noen tegn på misbruk, jobber vi kontinuerlig for å sikre at medlemmenes data forblir beskyttet. Vi setter pris på at forskeren rapporterer dette ansvarlig, og sikkerhetsteamet vårt vil fortsette å holde kontakten med dem.