Wtyczka LinkedIn AutoFill mogła ujawnić dane profilu użytkownika hakerom
Skandal dotyczący bezpieczeństwa danych na Facebooku[1] jest obecnie odsunięta w cień przez błąd autouzupełniania LinkedIn, który może ujawniać dane osobowe użytkowników na stronach internetowych osób trzecich.
Uwzględniono LinkedIn, sieć społecznościową profesjonalistów należących do Microsoft od 2016 roku jako jedna z najbardziej profesjonalnych sieci społecznościowych w sieci, która nie odbiega od swojego początkowego zamiar. Nie zdołała jednak uniknąć skandalu związanego z wyciekiem danych. 9 kwietnia 2018 roku badacz Jack Cable ujawnił[2] poważna wada wtyczki Autouzupełniania LinkedIn.
Nazywana cross-site scripting (XSS) usterka może ujawnić podstawowe informacje z profili członków LinkedIn, takie jak imię i nazwisko, adres e-mail, lokalizacja, zajmowane stanowisko itp. nierzetelnym stronom. Zatwierdzone strony internetowe osób trzecich, które znajdują się na białej liście LinkedIn, mogą sprawić, że „Autouzupełnianie w LinkedIn” będzie niewidoczne, w ten sposób członkowie LinkedIn automatycznie uzupełniają swoje dane z profilu, klikając w dowolnym miejscu spamu stronie internetowej.
Luka Cross-Site Scripting pozwala hakerom modyfikować widok strony
Cross-Site Scripting lub XSS[3] to powszechna luka, która może mieć wpływ na każdą aplikację w sieci. Luka jest wykorzystywana przez hakerów w celu łatwego wstrzykiwania treści do strony internetowej i modyfikowania jej obecnego widoku wyświetlania.
W przypadku błędu LinkedIn hakerom udało się wykorzystać powszechnie stosowaną wtyczkę Autouzupełniania. Ta ostatnia umożliwia użytkownikom szybkie wypełnianie formularzy. LinkedIn ma domenę na białej liście, aby korzystać z tej funkcji (ponad 10 000 uwzględnionych w 10 000 najlepszych) witryn internetowych sklasyfikowanych przez Alexę), co pozwala zatwierdzonym stronom trzecim na wypełnienie tylko podstawowych informacji od ich profil.
Jednak luka XSS umożliwia hakerom renderowanie wtyczki w całej witrynie, dzięki czemu „Autouzupełnianie z LinkedIn” przycisk[4] niewidzialny. W konsekwencji, jeśli internauta, który jest połączony z LinkedIn otworzy stronę internetową dotkniętą błędem XSS, kliknij na pusta lub jakakolwiek treść umieszczona na takiej domenie, nieumyślnie ujawnia dane osobowe tak, jakby kliknęła na „Autouzupełnianie z LinkedIn" przycisk.
Dzięki temu właściciel serwisu może pobrać imię i nazwisko, numer telefonu, lokalizację, adres e-mail, kod pocztowy, firmę, zajmowane stanowisko, doświadczenie itp. bez pytania o zgodę gościa. Jak wyjaśnił Jack Cable,
Dzieje się tak, ponieważ przycisk Autouzupełniania może stać się niewidoczny i obejmować całą stronę, powodując, że użytkownik klikając w dowolne miejsce wysyła informacje o użytkowniku do witryny.
Łatka na lukę w autouzupełnianiu została już wydana 10 kwietnia
Po założeniu, Jack Cable, badacz, który znalazł lukę, skontaktował się z LinkedIn i zgłosił lukę XSS. W odpowiedzi firma wydała łatkę 10 kwietnia i ograniczyła niewielką liczbę zatwierdzonych stron internetowych.
Niemniej jednak luka LinkedIn Autofill nie została pomyślnie załatana. Po dogłębnej analizie firma Cable poinformowała, że co najmniej jedna z domen umieszczonych na białej liście jest nadal podatna na exploita, który umożliwia przestępcom niewłaściwe użycie przycisku Autouzupełniania.
LinkedIn został poinformowany o niezałatanej luce, ale firma nie odpowiedziała. W konsekwencji badacz upublicznił tę lukę. Po ujawnieniu, pracownicy LinkedIn szybko wielokrotnie wypuszczali łatkę:[5]
Natychmiast uniemożliwiliśmy nieautoryzowane użycie tej funkcji, gdy tylko zostaliśmy poinformowani o problemie. Chociaż nie widzieliśmy żadnych oznak nadużyć, nieustannie pracujemy nad zapewnieniem ochrony danych naszych członków. Dziękujemy badaczom za odpowiedzialne zgłaszanie tego, a nasz zespół ds. bezpieczeństwa będzie nadal z nimi w kontakcie.