O plug-in LinkedIn AutoFill pode ter exposto os dados do perfil do usuário a hackers
Escândalo de segurança de dados do Facebook[1] está sendo posta na sombra pela falha do Preenchimento automático do LinkedIn, que possivelmente expõe as informações pessoais dos usuários a sites de terceiros.
LinkedIn, uma rede social de profissionais que pertencem à Microsoft desde 2016, foi considerada como uma das redes sociais mais profissionais da web que não se afasta do seu propósito. No entanto, não conseguiu escapar ao escândalo de uma violação de dados. Em 9 de abril de 2018, um pesquisador Jack Cable revelou[2] uma falha grave no plug-in de Preenchimento automático do LinkedIn.
Chamada de cross-site scripting (XSS), a falha pode expor informações básicas dos perfis dos membros do LinkedIn, como nome completo, endereço de e-mail, localização, cargo ocupado, etc. para partes não confiáveis. Sites de terceiros aprovados incluídos na lista de permissões do LinkedIn podem tornar o “Preenchimento automático com LinkedIn” invisível, assim, fazendo com que os membros do LinkedIn preencham automaticamente seus dados a partir do perfil clicando em qualquer lugar do spam local na rede Internet.
A falha de script entre sites permite que os hackers modifiquem a visualização do site
Cross-Site Scripting ou XSS[3] é uma vulnerabilidade generalizada que pode afetar qualquer aplicativo na web. A falha é explorada por hackers de forma que eles possam facilmente injetar conteúdo em um site e modificar sua exibição atual.
No caso de falha do LinkedIn, os hackers conseguiram explorar um plug-in AutoFill amplamente usado. Este último permite que os usuários preencham formulários rapidamente. O LinkedIn tem um domínio na lista de permissões para usar esta funcionalidade (mais de 10.000 incluídos entre os 10.000 principais sites classificados pela Alexa), permitindo assim que terceiros aprovados apenas preencham as informações básicas de seus perfil.
No entanto, a falha XSS permite que os hackers renderizem o plugin em todo o site, tornando o “Autopreencher com LinkedIn” botão[4] invisível. Consequentemente, se um internauta conectado ao LinkedIn abrir um site afetado pela falha de XSS, clicando em um vazio ou qualquer conteúdo posicionado em tal domínio, sem querer divulga informações pessoais como se clicando sobre “Autopreencher com LinkedIn" botão.
Como consequência, o dono do site pode recuperar o nome completo, número de telefone, localização, endereço de e-mail, CEP, empresa, cargo ocupado, experiência, etc. sem pedir permissão do visitante. Como Jack Cable explicou,
Isso ocorre porque o botão Autopreencher pode ficar invisível e abranger toda a página, fazendo com que o usuário clique em qualquer lugar para enviar as informações do usuário ao site.
Um patch para a falha do Autopreencher já foi lançado em 10 de abril
Após a fundação, Jack Cable, o pesquisador que encontrou a falha, contatou o LinkedIn e relatou a vulnerabilidade XSS. Em resposta, a empresa lançou um patch em 10 de abril e limitou um pequeno número de sites aprovados.
No entanto, a vulnerabilidade do Preenchimento automático do LinkedIn não foi corrigida com sucesso. Após uma análise aprofundada, Cable relatou que pelo menos um dos domínios permitidos ainda está vulnerável à exploração, permitindo que os criminosos usem indevidamente o botão Autopreencher.
O LinkedIn foi informado sobre a vulnerabilidade não corrigida, embora a empresa não tenha respondido. Consequentemente, o pesquisador tornou pública a vulnerabilidade. Após a revelação, a equipe do LinkedIn foi rápida em lançar o patch repetidamente:[5]
Impedimos imediatamente o uso não autorizado deste recurso, assim que fomos informados do problema. Embora não tenhamos visto sinais de abuso, estamos trabalhando continuamente para garantir que os dados de nossos membros permaneçam protegidos. Agradecemos o pesquisador relatar isso com responsabilidade, e nossa equipe de segurança continuará a manter contato com eles.