Плагин LinkedIn AutoFill мог раскрыть данные профиля пользователя хакерам
Скандал с безопасностью данных в Facebook[1] в настоящее время затмевается ошибкой LinkedIn AutoFill, которая, возможно, раскрывает личную информацию пользователей сторонним веб-сайтам.
LinkedIn, социальная сеть от профессионалов, принадлежащих Microsoft с 2016 года, считается как одна из самых профессиональных социальных сетей в Интернете, которая не отступает от своей первоначальной цель. Однако избежать скандала с утечкой данных не удалось. 9 апреля 2018 года исследователь Джек Кейбл обнаружил[2] серьезная ошибка в плагине автозаполнения LinkedIn.
Этот недостаток, получивший название межсайтового скриптинга (XSS), может раскрывать основную информацию из профилей участников LinkedIn, такую как полное имя, адрес электронной почты, местонахождение, занимаемая должность и т. Д. ненадежным сторонам. Одобренные сторонние веб-сайты, включенные в белый список LinkedIn, могут сделать «Автозаполнение с помощью LinkedIn» невидимым, таким образом участники LinkedIn автоматически вводят свои данные из профиля, щелкая в любом месте Веб-сайт.
Недостаток межсайтового скриптинга позволяет хакерам изменять вид веб-сайта.
Межсайтовый скриптинг или XSS[3] - широко распространенная уязвимость, которая может повлиять на любое приложение в Интернете. Уязвимость используется хакерами таким образом, что они могут легко вводить контент на веб-сайт и изменять его текущее отображение.
В случае ошибки LinkedIn хакерам удалось использовать широко используемый плагин AutoFill. Последний позволяет пользователям быстро заполнять формы. LinkedIn имеет домен из белого списка для использования этой функции (более 10 000 включены в 10 000 лучших веб-сайты, оцененные Alexa), что позволяет утвержденным третьим сторонам вводить только основную информацию из своих профиль.
Однако недостаток XSS позволяет хакерам отображать плагин на всем веб-сайте, делая «Автозаполнение с помощью LinkedIn» кнопка[4] невидимый. Следовательно, если пользователь сети, подключенный к LinkedIn, откроет веб-сайт, затронутый ошибкой XSS, нажав на пустой или любой контент, размещенный в таком домене, непреднамеренно раскрывает личную информацию, как если бы щелкнул на «Автозаполнение с помощью LinkedIn" кнопка.
Как следствие, владелец веб-сайта может получить полное имя, номер телефона, местонахождение, адрес электронной почты, почтовый индекс, компанию, занимаемую должность, опыт и т. Д. без разрешения посетителя. Как объяснил Джек Кейбл,
Это связано с тем, что кнопку «Автозаполнение» можно сделать невидимой и охватить всю страницу, в результате чего пользователь щелкает в любом месте, чтобы отправить информацию о пользователе на веб-сайт.
Патч для дефекта AutoFill уже выпущен 10 апреля.
После основания Джек Кейбл, исследователь, обнаруживший уязвимость, связался с LinkedIn и сообщил об уязвимости XSS. В ответ компания выпустила патч 10 апреля и ограничила небольшое количество одобренных веб-сайтов.
Тем не менее уязвимость автозаполнения LinkedIn не была исправлена. После тщательного анализа Cable сообщил, что по крайней мере один из доменов из белого списка все еще уязвим для эксплойта, позволяющего злоумышленникам злоупотреблять кнопкой автозаполнения.
LinkedIn была проинформирована о незащищенной уязвимости, но не ответила. Следовательно, исследователь обнародовал уязвимость. После разоблачения сотрудники LinkedIn поспешили выпустить патч несколько раз:[5]
Мы немедленно предотвратили несанкционированное использование этой функции, как только нам стало известно о проблеме. Хотя мы не наблюдаем никаких признаков злоупотреблений, мы постоянно работаем над обеспечением защиты данных наших участников. Мы ценим, что исследователь ответственно сообщает об этом, и наша команда безопасности будет продолжать поддерживать с ними связь.