![Hoe lokale, gebruikers- en systeembrede omgevingsvariabelen in Linux in en uit te schakelen](/f/8b8fcb6f104f02cdb7067ce5ffabe5b2.png?width=100&height=100)
Af en toe horen we over inbreuken op bedrijfsgegevens, waardoor miljoenen gebruikersgegevens worden blootgesteld. Het is net meer dan een maand geleden dat Facebook schuldig werd bevonden aan een van de grootste datalekken ooit, waarbij persoonlijke informatie van miljoenen gebruikers werd gelekt zonder hun kennisgeving. Nu is er een nieuwe fout ontdekt in LinkedIn, het grootste sociale netwerkplatform voor professionals.
Een beveiligingsonderzoeker genaamd Jack Cable heeft LinkedIn onlangs op de hoogte gebracht van een kwetsbaarheid in de functie Automatisch aanvullen van LinkedIn die door aanvallers kan worden gebruikt om toegang te krijgen tot persoonlijke informatie van de gebruiker, zoals volledige naam, e-mailadres, telefoonnummer, postcode, bedrijf en functietitel zonder hun merk op.
De LinkedIn AutoFill-functie helpt de websites (alleen de websites die op de witte lijst staan) om gebruikers hun persoonlijke gegevens automatisch te laten vullen met een enkele tik of klik met behulp van de AutoFill-plug-in.
Dit betekent dat LinkedIn al haar betaalde klanten LinkedIn Marketing Solutions aanbiedt met een AutoFill-knop om op hun websites te plaatsen. Deze knop voor automatisch aanvullen vereenvoudigt het invullen van de formulieren voor de bezoekers die op die website terechtkomen.
Hoewel het volgens LinkedIn AutoFill niet voor iedereen toegankelijk is en alleen beperkt is tot websites op de witte lijst, maar als per Jack zou elke website deze functionaliteit kunnen exploiteren en vervolgens gebruikersgegevens verzamelen die ook zonder merk op.
Jack toonde verder aan dat als een van die websites op de witte lijst die Automatisch aanvullen mogen gebruiken, kwetsbaarheden voor cross-site scripting hebben (die hij ontdekte dat veel websites hebben) dan kunnen aanvallers ook Automatisch aanvullen uitvoeren op hun gecompromitteerde websites door een iframe te installeren op die geautoriseerde websites.
Zie ook: 10 Beste antimalwaresoftware voor Windows
Bovendien kan deze fout de informatie van de gebruiker blootleggen, ongeacht de privacy-instelling die op het LinkedIn-profiel is toegepast.
De beveiligingsonderzoeker heeft de exploitstromen laten zien:
window.addEventListener("message", ReceiveMessage, false);
functie ontvangBericht (gebeurtenis)
{
if (gebeurtenis.oorsprong == ' https://www.linkedin.com') {
laat data = JSON.parse (event.data).data;
if (data.e-mail) {
alert('Hallo, ' + data.voornaam + ' ' + data.achternaam + '! Uw e-mailadres is ' + data.email + '. Je werkt bij ' + data.company + ' en je woont in ' + data.city + ', ' + data.state + '.');
console.log (gegevens);
}
}
console.log (gebeurtenis)
}
Wat nog schokkender was, was dat toen Jack LinkedIn op de hoogte bracht van deze kwetsbaarheid in Automatisch aanvullen, LinkedIn een oplossing uitbracht zonder het publiek hiervan op de hoogte te stellen. Maar toen hij opnieuw contact opnam met LinkedIn en beschreef dat de door hen verstrekte oplossing nog steeds kan worden misbruikt, hebben ze hem pas meer dan een week teruggestuurd. Dit dwong Jack om contact op te nemen met TechCrunch over deze ernstige beveiligingsfout in de AutoFill-plug-in van LinkedIn.
Dit dwong LinkedIn op de een of andere manier interesse te tonen in de door Jack gemelde bug en ze brachten een complete patch uit op 19dit April voor de kwetsbaarheid in Automatisch aanvullen met de volgende verklaring.
Zodra we op de hoogte waren van het probleem, hebben we ongeautoriseerd gebruik van deze functie onmiddellijk voorkomen. We zijn nu bezig met een nieuwe oplossing die mogelijke aanvullende gevallen van misbruik zal aanpakken en deze zal binnenkort beschikbaar zijn. Hoewel we geen tekenen van misbruik hebben gezien, werken we er voortdurend aan om ervoor te zorgen dat de gegevens van onze leden beschermd blijven. We waarderen het dat de onderzoeker dit op een verantwoorde manier meldt en ons beveiligingsteam zal contact met hen blijven houden.
Voor de duidelijkheid: LinkedIn AutoFill is niet algemeen beschikbaar en werkt alleen op domeinen op de witte lijst voor goedgekeurde adverteerders. Hiermee kunnen bezoekers van een website ervoor kiezen om vooraf een formulier in te vullen met informatie uit hun LinkedIn-profiel.
Hopelijk is de kwetsbaarheid die is gevonden in AutoFill van LinkedIn voorlopig verholpen. Ook een oprechte dank aan Jack Cable voor het ontdekken van deze fout en voor het in zo'n vroeg stadium herstellen ervan, waardoor veel gebruikers hun gegevens niet opnieuw hoeven bloot te leggen. Wie weet of deze kwetsbaarheid ooit is veranderd in het grootste datalek ooit.