Este posibil ca pluginul LinkedIn AutoFill să fi expus hackerilor datele profilului utilizatorului
Scandalul Facebook privind securitatea datelor[1] este în prezent pus în umbră de defectul de completare automată a LinkedIn, care poate expune informațiile personale ale utilizatorilor site-urilor web ale terților.
LinkedIn, o rețea de socializare a profesioniștilor care aparțin Microsoft din 2016, a fost luată în considerare ca una dintre cele mai profesioniste rețele sociale de pe web, care nu se îndepărtează de la inițiala scop. Cu toate acestea, nu a reușit să se sustragă scandalului unei breșe de date. Pe 9 aprilie 2018, un cercetător Jack Cable a dezvăluit[2] un defect grav în pluginul AutoFill al LinkedIn.
Denumită cross-site scripting (XSS), defectul ar putea expune informații de bază din profilurile membrilor LinkedIn, cum ar fi numele complet, adresa de e-mail, locația, o funcție ocupată etc. la partide nedemne de încredere. Site-urile web aprobate de la terțe părți care sunt incluse în lista albă a LinkedIn pot face „Completare automată cu LinkedIn” invizibilă, astfel încât membrii LinkedIn să-și completeze automat detaliile din profil făcând clic oriunde pe spam site-ul web.
Defectul Cross-Site Scripting permite hackerilor să modifice vizualizarea site-ului
Cross-Site Scripting sau XSS[3] este o vulnerabilitate larg răspândită care poate afecta orice aplicație de pe web. Defectul este exploatat de hackeri într-un mod în care pot injecta cu ușurință conținut într-un site web și pot modifica vizualizarea curentă a afișajului acestuia.
În cazul unui defect LinkedIn, hackerii au reușit să exploateze un plugin de completare automată utilizat pe scară largă. Acesta din urmă permite utilizatorilor să completeze rapid formularele. LinkedIn are un domeniu pe lista albă pentru a utiliza această funcționalitate (mai mult de 10.000 sunt incluse în primele 10.000 site-uri web clasate de Alexa), permițând astfel terților autorizați doar să completeze informații de bază din partea lor profil.
Cu toate acestea, defectul XSS permite hackerilor să reda pluginul pe întregul site web care face „Completare automată cu LinkedIn” buton[4] invizibil. În consecință, dacă un netizen care este conectat la LinkedIn deschide un site web afectat de un defect XSS, dând clic pe un gol sau orice conținut poziționat pe un astfel de domeniu, dezvăluie neintenționat informații personale, ca și cum ar face clic pe „Completare automată cu LinkedInbutonul ”.
În consecință, proprietarul site-ului poate prelua un nume complet, număr de telefon, locație, adresă de e-mail, cod poștal, companie, funcția deținută, experiență etc. fără a cere permisiunea vizitatorului. După cum a explicat Jack Cable,
Acest lucru se datorează faptului că butonul Completare automată ar putea fi făcut invizibil și poate acoperi întreaga pagină, determinând ca un utilizator să facă clic oriunde pentru a trimite informațiile utilizatorului pe site-ul web.
Un patch pentru defectul AutoFill a fost deja lansat pe 10 aprilie
La fondare, Jack Cable, cercetătorul care a găsit defectul, a contactat LinkedIn și a raportat vulnerabilitatea XSS. Ca răspuns, compania a lansat un patch pe 10 aprilie și a limitat un număr mic de site-uri web aprobate.
Cu toate acestea, vulnerabilitatea LinkedIn Autofill nu a fost corectată cu succes. După o analiză aprofundată, Cable a raportat că cel puțin unul dintre domeniile de pe lista albă este încă vulnerabil la exploit, care permite criminalilor să folosească greșit butonul de completare automată.
LinkedIn a fost informat despre o vulnerabilitate nepattchizată, deși compania nu a răspuns. În consecință, cercetătorul a făcut publică vulnerabilitatea. La dezvăluire, personalul LinkedIn s-a grăbit să lanseze patch-ul în mod repetat:[5]
Am împiedicat imediat utilizarea neautorizată a acestei funcții, odată ce am fost informați cu privire la problemă. Deși nu am observat semne de abuz, lucrăm continuu pentru a ne asigura că datele membrilor noștri rămân protejate. Apreciem că cercetătorul a raportat în mod responsabil acest lucru, iar echipa noastră de securitate va continua să țină legătura cu ei.