LinkedIn Otomatik Doldurma eklentisi, kullanıcı profili verilerini bilgisayar korsanlarına maruz bırakmış olabilir
Facebook'un veri güvenliği skandalı[1] Şu anda, kullanıcıların kişisel bilgilerini üçüncü taraf web sitelerine ifşa eden LinkedIn'in Otomatik Doldurma kusuru tarafından gölgede bırakılıyor.
2016'dan beri Microsoft'a ait profesyonellerden oluşan bir sosyal ağ olan LinkedIn, düşünüldü başlangıcından ayrılmayan web üzerindeki en profesyonel sosyal ağlardan biri olarak amaç. Ancak, bir veri ihlali skandalından kaçmayı başaramadı. 9 Nisan 2018'de bir araştırmacı Jack Cable açıkladı[2] LinkedIn'in Otomatik Doldurma eklentisinde ciddi bir kusur.
Siteler arası komut dosyası oluşturma (XSS) olarak adlandırılan kusur, LinkedIn üyelerinin profillerinden tam ad, e-posta adresi, konum, tutulan pozisyon vb. gibi temel bilgileri açığa çıkarabilir. güvenilmeyen taraflara LinkedIn'in beyaz listesine dahil edilen onaylı üçüncü taraf web siteleri “LinkedIn ile Otomatik Doldurma” özelliğini görünmez hale getirebilir, böylece LinkedIn üyelerinin, istenmeyen postalar üzerinde herhangi bir yere tıklayarak ayrıntılarını profilden otomatik olarak doldurmasını sağlar. İnternet sitesi.
Siteler Arası Komut Dosyası hatası, bilgisayar korsanlarının web sitesinin görünümünü değiştirmesine olanak tanır
Siteler Arası Komut Dosyası Çalıştırma veya XSS[3] Web'deki herhangi bir uygulamayı etkileyebilecek yaygın bir güvenlik açığıdır. Kusur, bilgisayar korsanları tarafından bir web sitesine kolayca içerik enjekte edebilecekleri ve mevcut ekran görünümünü değiştirebilecekleri şekilde istismar ediliyor.
LinkedIn hatası durumunda, bilgisayar korsanları yaygın olarak kullanılan bir Otomatik Doldurma eklentisinden yararlanmayı başardı. İkincisi, kullanıcıların formları hızlı bir şekilde doldurmasını sağlar. LinkedIn, bu işlevi kullanmak için beyaz listeye alınmış bir etki alanına sahiptir (ilk 10.000'e 10.000'den fazla dahildir Alexa tarafından derecelendirilen web siteleri), böylece onaylanmış üçüncü tarafların yalnızca kendi sitelerinden temel bilgileri doldurmasına izin verir. profil.
Bununla birlikte, XSS kusuru, bilgisayar korsanlarının eklentiyi tüm web sitesinde oluşturmasını sağlar. “LinkedIn ile Otomatik Doldurma” buton[4] görünmez. Sonuç olarak, LinkedIn'e bağlı bir netizen, XSS kusurundan etkilenen bir web sitesini açarsa, bir boş veya böyle bir etki alanında konumlandırılan herhangi bir içerik, istemeden kişisel bilgileri tıklıyormuş gibi ifşa eder. üzerinde “LinkedIn ile Otomatik Doldurma" buton.
Sonuç olarak, web sitesinin sahibi tam ad, telefon numarası, konum, e-posta adresi, posta kodu, şirket, tutulan pozisyon, deneyim vb. ziyaretçiden izin istemeden. Jack Cable'ın açıkladığı gibi,
Bunun nedeni, Otomatik Doldur düğmesinin görünmez hale getirilebilmesi ve tüm sayfayı kaplayarak kullanıcının herhangi bir yeri tıklatarak kullanıcının bilgilerini web sitesine göndermesine neden olabilmesidir.
Otomatik Doldurma kusuru için bir yama 10 Nisan'da yayınlandı
Kuruluşun ardından, kusuru bulan araştırmacı Jack Cable, LinkedIn ile iletişime geçti ve XSS güvenlik açığını bildirdi. Buna karşılık, şirket 10 Nisan'da bir yama yayınladı ve az sayıda onaylanmış web sitesini sınırladı.
Bununla birlikte, LinkedIn Otomatik Doldurma güvenlik açığı başarıyla düzeltilmedi. Kapsamlı bir analizden sonra Cable, beyaz listeye alınan alanlardan en az birinin, suçluların Otomatik Doldur düğmesini kötüye kullanmasına izin veren istismara karşı hala savunmasız olduğunu bildirdi.
Şirket yanıt vermese de, LinkedIn yamalanmamış güvenlik açığı hakkında bilgilendirildi. Sonuç olarak, araştırmacı güvenlik açığını herkese açık hale getirdi. Vahiy üzerine, LinkedIn çalışanları yamayı tekrar tekrar yayınlamak için hızlı davrandı:[5]
Sorunun farkına varır varmaz bu özelliğin yetkisiz kullanımını hemen engelledik. Herhangi bir kötüye kullanım belirtisi görmesek de üyelerimizin verilerinin korunmasını sağlamak için sürekli çalışıyoruz. Bunu sorumlu bir şekilde bildiren araştırmacıya teşekkür ederiz ve güvenlik ekibimiz onlarla iletişim halinde olmaya devam edecektir.