LinkedIn AutoFill-plugin kan ha exponerat användarprofildata för hackare
Facebooks datasäkerhetsskandal[1] förs för närvarande i skuggan av LinkedIns AutoFill-fel, som möjligen exponerar användarnas personliga information för tredje parts webbplatser.
LinkedIn, ett socialt nätverk från proffs som tillhör Microsoft sedan 2016, har övervägts som ett av de mest professionella sociala nätverken på webben som inte avviker från dess initiala syfte. Den lyckades dock inte undgå skandalen med ett dataintrång. Den 9 april 2018 avslöjade en forskare Jack Cable[2] ett allvarligt fel i LinkedIns AutoFill-plugin.
Kallas som cross-site scripting (XSS), kan felet avslöja grundläggande information från LinkedIn-medlemmars profiler, såsom fullständigt namn, e-postadress, plats, en position som innehas, etc. till opålitliga parter. Godkända tredjepartswebbplatser som ingår i LinkedIns vitlista kan göra "Autofyll med LinkedIn" osynlig, vilket gör att LinkedIn-medlemmar automatiskt fyller i sina uppgifter från profilen genom att klicka var som helst på spammaren hemsida.
Cross-Site Scripting-fel tillåter hackare att ändra webbplatsens vy
Cross-Site Scripting eller XSS[3] är en utbredd sårbarhet som kan påverka vilken app som helst på webben. Felet utnyttjas av hackare på ett sätt som de enkelt kan injicera innehåll på en webbplats och ändra dess nuvarande visningsvy.
I händelse av ett LinkedIn-fel lyckades hackare utnyttja ett flitigt använt AutoFill-plugin. Det senare tillåter användare att fylla i formulär snabbt. LinkedIn har en vitlistad domän för att använda denna funktionalitet (mer än 10 000 ingår bland de 10 000 bästa webbplatser rankade av Alexa), vilket gör att godkända tredje parter endast kan fylla i grundläggande information från sina profil.
XSS-felet tillåter dock hackare att rendera plugin-programmet på hela webbplatsen vilket gör det "Autofyll med LinkedIn" knapp[4] osynlig. Följaktligen, om en nätanvändare som är ansluten till LinkedIn öppnar en webbplats som påverkas av XSS-fel, klickar du på en tomt eller något innehåll placerat på en sådan domän, oavsiktligt avslöjar personlig information som om du klickar på "Autofyll med LinkedIn" knapp.
Som en konsekvens kan ägaren av webbplatsen hämta ett fullständigt namn, telefonnummer, plats, e-postadress, postnummer, företag, befattningen, erfarenhet etc. utan att fråga om besökarnas tillåtelse. Som Jack Cable förklarade,
Detta beror på att knappen Autofyll kan göras osynlig och sträcka sig över hela sidan, vilket gör att en användare klickar var som helst för att skicka användarens information till webbplatsen.
En patch för AutoFill-fel har redan utfärdats den 10 april
Vid grundandet kontaktade Jack Cable, forskaren som hittade felet, LinkedIn och rapporterade XSS-sårbarheten. Som svar släppte företaget en patch den 10 april och begränsade ett litet antal godkända webbplatser.
Trots det har LinkedIn Autofill-sårbarheten inte korrigerats framgångsrikt. Efter en djupgående analys rapporterade Cable att minst en av de vitlistade domänerna fortfarande är sårbara för utnyttjandet som tillåter brottslingar att missbruka Autofyll-knappen.
LinkedIn har informerats om opatchad sårbarhet, även om företaget inte svarade. Följaktligen offentliggjorde forskaren sårbarheten. Efter avslöjande var LinkedIns personal snabba med att släppa patchen upprepade gånger:[5]
Vi förhindrade omedelbart obehörig användning av den här funktionen när vi blev medvetna om problemet. Även om vi inte har sett några tecken på missbruk, arbetar vi kontinuerligt för att säkerställa att våra medlemmars data förblir skyddade. Vi uppskattar att forskaren ansvarsfullt rapporterar detta, och vårt säkerhetsteam kommer att fortsätta att hålla kontakten med dem.