Din când în când, auzim despre încălcări ale datelor companiei, rezultând milioane de date ale utilizatorilor lăsate expuse. A trecut doar o lună când Facebook a fost găsit vinovat de una dintre cele mai mari încălcări de date din toate timpurile, în care informațiile personale de milioane de utilizatori au fost divulgate fără notificarea lor. Acum a fost descoperit un nou defect în LinkedIn, cea mai mare platformă de rețele sociale pentru profesioniști.
Un cercetător de securitate pe nume Jack Cable a notificat recent LinkedIn despre o vulnerabilitate în funcția de completare automată a LinkedIn, care poate fi utilizată de atacatori pentru a obține acces la informațiile personale ale utilizatorului, cum ar fi numele complet, adresa de e-mail, numărul de telefon, codul poștal / poștal, compania și funcția, fără înștiințare.
Funcția de completare automată LinkedIn ajută site-urile web (numai site-urile care sunt listate în alb) să permită utilizatorilor să își completeze automat datele personale cu o singură atingere sau făcând clic folosind pluginul de completare automată.
Aceasta înseamnă că LinkedIn oferă tuturor clienților săi plătiți ai LinkedIn Marketing Solutions un buton de completare automată pentru a plasa pe site-urile lor web. Acest buton de completare automată simplifică sarcina de a completa formularele pentru vizitatorii care aterizează pe acel site web.
Deși, conform LinkedIn AutoFill, nu este deschis pentru toți și este limitat doar la site-urile listate pe alb, ci ca pe Jack orice site web ar putea exploata această funcționalitate și apoi ar putea colecta și detaliile utilizatorului înștiințare.
Jack a demonstrat în plus că, dacă oricare dintre acele site-uri pe listă albă cărora li se permite să utilizeze Completare automată, prezintă vulnerabilități de scriptare între site-uri (pe care le-a descoperit că au multe site-uri web), atunci atacatorii pot rula și AutoFill pe site-urile lor compromise, instalând un iframe pe cel autorizat site-uri web.
Vezi si: Cele mai bune 10 programe anti-malware pentru Windows
Mai mult, acest defect poate expune informațiile utilizatorului, indiferent de setările de confidențialitate aplicate pe profilul LinkedIn.
Cercetătorul în domeniul securității a arătat fluxurile de exploatare:
window.addEventListener („mesaj”, mesaj primit, fals);
funcția de a primi mesaj (eveniment)
{
if (event.origin == ' https://www.linkedin.com') {
let data = JSON.parse (event.data) .data;
if (data.email) {
alert ('Bună,' + data.firstname + '' + data.lastname + '! E-mailul dvs. este „+ data.email +”. Lucrați la '+ data.company +' și locuiți în '+ data.city +', '+ data.state +'. ');
console.log (date);
}
}
console.log (eveniment)
}
Ceea ce a fost mai șocant a fost că, atunci când Jack a informat pe LinkedIn de această vulnerabilitate în AutoFill, atunci LinkedIn a emis o remediere fără a notifica publicul. Dar când a contactat din nou LinkedIn, descriind că soluția oferită de aceștia poate fi încă exploatată, atunci nu l-au mai revenit mai mult de o săptămână. Acest lucru l-a forțat pe Jack să contacteze TechCrunch cu privire la acest defect de securitate grav în pluginul de completare automată a LinkedIn.
Acest lucru a forțat cumva LinkedIn să arate interes pentru bug-ul raportat de Jack și au emis un patch complet pe 19a Aprilie pentru vulnerabilitatea în Completarea automată cu următoarea declarație.
Am împiedicat imediat utilizarea neautorizată a acestei funcții, odată ce am fost conștienți de această problemă. Acum facem o altă soluție care va aborda potențialele cazuri de abuz suplimentare și va fi pusă în aplicare în curând. Deși nu am văzut semne de abuz, lucrăm constant pentru a ne asigura că datele membrilor noștri rămân protejate. Apreciem că cercetătorul a raportat în mod responsabil acest lucru și echipa noastră de securitate va rămâne în continuare în legătură cu ei.
Pentru claritate, Completarea automată LinkedIn nu este disponibilă pe scară largă și funcționează numai pe domeniile listate pe alb pentru agenții de publicitate aprobați. Permite vizitatorilor unui site web să aleagă să pre-completeze un formular cu informații din profilul lor LinkedIn.
Sperăm că, deocamdată, vulnerabilitatea găsită în Completarea automată a LinkedIn este reparată. De asemenea, o mulțumire sinceră lui Jack Cable pentru că a descoperit acest defect și l-a remediat într-un stadiu atât de timpuriu, salvând mulți utilizatori de a-și expune din nou datele. Și cine știe dacă această vulnerabilitate s-ar putea transforma într-o zi în cea mai mare încălcare a datelor cunoscută vreodată.