Плагін LinkedIn AutoFill міг розкрити дані профілю користувача хакерам
Скандал із захищеністю даних у Facebook[1] наразі затьмарюється через недолік автозаповнення LinkedIn, який, можливо, відкриває особисту інформацію користувачів стороннім веб-сайтам.
Розглянуто LinkedIn, соціальну мережу професіоналів, які належать Microsoft з 2016 року як одна з найпрофесійніших соціальних мереж у мережі, яка не відступає від початкової призначення. Однак уникнути скандалу зі зломом даних не вдалося. 9 квітня 2018 року дослідник Джек Кейбл показав[2] серйозний недолік у плагіні AutoFill LinkedIn.
Цей недолік, названий міжсайтовим сценарієм (XSS), може розкривати основну інформацію з профілів учасників LinkedIn, таку як повне ім’я, адреса електронної пошти, місцезнаходження, займана посада тощо. до ненадійних сторін. Схвалені сторонні веб-сайти, які включені до білого списку LinkedIn, можуть зробити «Автозаповнення за допомогою LinkedIn» невидимим, таким чином учасники LinkedIn автоматично заповнюють свої дані з профілю, клацаючи в будь-якому місці спаму веб-сайт.
Помилка міжсайтових скриптів дозволяє хакерам змінювати вигляд веб-сайту
Міжсайтові скрипти або XSS[3] є широко поширеною вразливістю, яка може вплинути на будь-яку програму в Інтернеті. Недолік використовується хакерами для того, щоб вони могли легко вводити вміст на веб-сайт і змінювати його поточний вигляд.
У разі недоліку LinkedIn хакерам вдалося використати широко використовуваний плагін AutoFill. Останнє дозволяє користувачам швидко заповнювати форми. LinkedIn має домен у білому списку для використання цієї функції (понад 10 000 увійшли до 10 000 найкращих веб-сайти, ранжовані Alexa), дозволяючи схваленим третім сторонам лише заповнювати основну інформацію зі своїх профіль.
Однак недолік XSS дозволяє хакерам відображати плагін на всьому веб-сайті, який створює його «Автозаповнення за допомогою LinkedIn» кнопку[4] невидимий. Отже, якщо користувач мережі, підключений до LinkedIn, відкриває веб-сайт, уражений дефектом XSS, натискаючи на порожній або будь-який вміст, розміщений на такому домені, ненавмисно розкриває особисту інформацію, ніби натискаючи на «Автозаповнення за допомогою LinkedIn” кнопка.
Як наслідок, власник веб-сайту може отримати повне ім’я, номер телефону, місцезнаходження, адресу електронної пошти, поштовий індекс, компанію, посаду, досвід тощо. не запитуючи дозволу відвідувача. Як пояснив Джек Кейбл,
Це пов’язано з тим, що кнопку автозаповнення можна зробити невидимою та охоплювати всю сторінку, змушуючи користувача, натискаючи будь-де, надсилати інформацію користувача на веб-сайт.
Патч для помилки автозаповнення вже був випущений 10 квітня
Після заснування Джек Кейбл, дослідник, який знайшов недолік, зв’язався з LinkedIn і повідомив про вразливість XSS. У відповідь компанія 10 квітня випустила патч і обмежила невелику кількість схвалених веб-сайтів.
Тим не менш, уразливість автозаповнення LinkedIn не була успішно виправлена. Після поглибленого аналізу Cable повідомив, що принаймні один із доменів із білого списку все ще вразливий до експлойту, який дозволяє злочинцям неправомірно використовувати кнопку автозаповнення.
LinkedIn повідомили про невиправлену вразливість, але компанія не відповіла. Отже, дослідник оприлюднив уразливість. Після відкриття, співробітники LinkedIn поспішили випустити патч кілька разів:[5]
Ми негайно запобігли несанкціонованому використанню цієї функції, як тільки нам повідомили про проблему. Хоча ми не помітили жодних ознак зловживання, ми постійно працюємо над тим, щоб дані наших учасників залишалися захищеними. Ми цінуємо, що дослідник відповідально повідомляє про це, і наша команда безпеки буде продовжувати підтримувати з ними зв’язок.