Doplnok LinkedIn AutoFill mohol vystaviť údaje používateľského profilu hackerom
Škandál s bezpečnosťou údajov na Facebooku[1] je v súčasnosti zatienený chybou LinkedIn AutoFill, ktorá môže vystaviť osobné informácie používateľov webovým stránkam tretích strán.
Do úvahy prichádza LinkedIn, sociálna sieť od profesionálov, ktorí od roku 2016 patria pod Microsoft ako jedna z najprofesionálnejších sociálnych sietí na webe, ktorá sa neodchyľuje od svojej pôvodnej stránky účel. Škandál s únikom dát sa jej však vyhnúť nepodarilo. 9. apríla 2018 výskumník Jack Cable odhalil[2] závažná chyba v doplnku AutoFill na LinkedIn.
Chyba, nazývaná ako cross-site scripting (XSS), môže odhaliť základné informácie z profilov členov LinkedIn, ako je celé meno, e-mailová adresa, poloha, zastávaná pozícia atď. na nedôveryhodné strany. Schválené webové stránky tretích strán, ktoré sú zahrnuté do zoznamu povolených adries LinkedIn, môžu spôsobiť, že „Automatické dopĺňanie pomocou LinkedIn“ bude neviditeľné, čím členovia LinkedIn automaticky vypĺňajú svoje údaje z profilu kliknutím kdekoľvek na spam webové stránky.
Chyba Cross-Site Scripting umožňuje hackerom upraviť zobrazenie webovej stránky
Cross-Site Scripting alebo XSS[3] je rozšírená zraniteľnosť, ktorá môže ovplyvniť akúkoľvek aplikáciu na webe. Chybu využívajú hackeri tak, že môžu jednoducho vložiť obsah na webovú stránku a upraviť jej aktuálne zobrazenie.
V prípade chyby LinkedIn sa hackerom podarilo zneužiť široko používaný doplnok AutoFill. Ten umožňuje používateľom rýchlo vyplniť formuláre. LinkedIn má doménu na zozname povolených na používanie tejto funkcie (viac ako 10 000 zahrnutých medzi 10 000 webové stránky zoradené podľa Alexa), čo umožňuje schváleným tretím stranám iba vyplniť základné informácie z ich profilu.
Chyba XSS však umožňuje hackerom vykresliť doplnok na celej webovej stránke, ktorá vytvára „Automatické dopĺňanie pomocou LinkedIn“ tlačidlo[4] neviditeľný. V dôsledku toho, ak netizen, ktorý je pripojený k LinkedIn, otvorí webovú stránku ovplyvnenú chybou XSS, kliknutím na prázdny alebo akýkoľvek obsah umiestnený na takejto doméne, neúmyselne zverejňuje osobné informácie, ako keby ste klikli na „Automatické dopĺňanie pomocou LinkedIntlačidlo “.
V dôsledku toho môže vlastník webovej stránky získať celé meno, telefónne číslo, miesto, e-mailovú adresu, PSČ, spoločnosť, zastávanú pozíciu, skúsenosti atď. bez vyžiadania súhlasu návštevníka. Ako vysvetlil Jack Cable,
Dôvodom je, že tlačidlo Automatické dopĺňanie by mohlo byť neviditeľné a mohlo by pokrývať celú stránku, čo by spôsobilo, že používateľ klikol kdekoľvek, aby odoslal informácie o používateľovi webovej lokalite.
Oprava pre chybu AutoFill bola vydaná už 10. apríla
Po založení Jack Cable, výskumník, ktorý našiel chybu, kontaktoval LinkedIn a nahlásil zraniteľnosť XSS. V reakcii na to spoločnosť vydala 10. apríla opravu a obmedzila malý počet schválených webových stránok.
Napriek tomu nebola chyba zabezpečenia LinkedIn Autofill úspešne opravená. Po hĺbkovej analýze Cable oznámil, že aspoň jedna z povolených domén je stále zraniteľná voči zneužitiu, ktoré umožňuje zločincom zneužiť tlačidlo Automatické dopĺňanie.
LinkedIn bol informovaný o neopravenej zraniteľnosti, hoci spoločnosť nereagovala. Následne výskumník túto zraniteľnosť zverejnil. Po odhalení pracovníci LinkedInu rýchlo vydali opravu opakovane:[5]
Hneď ako sme sa o probléme dozvedeli, okamžite sme zabránili neoprávnenému použitiu tejto funkcie. Aj keď sme nezaznamenali žiadne známky zneužitia, neustále pracujeme na tom, aby sme zabezpečili, že údaje našich členov zostanú chránené. Oceňujeme, že výskumník to zodpovedne nahlásil a náš bezpečnostný tím s nimi bude naďalej v kontakte.