Odkaz na automatický doplněk LinkedIn chyba odhalila data uživatele

Chyba, která byla nyní patched, mohla dovolit útočníkům ukrást osobní údaje

Funkce automatického doplňování nabízená členům služby LinkedIn byla ovlivněna chybou, která by mohla útočníkovi dovolit ukrást osobní údaje uživatelů.

Funkce, která je nabízena zákazníkům marketingových řešení společnosti LinkedIn, umožňuje uživateli vyplnění formuláře webové stránky pomocí osobních údajů, jako je jméno, e-mailová adresa, telefonní číslo a pracovní místo, a to kliknutím na tlačítko.

Pokud některá z webových stránek kompatibilních s pluginem obsahovala chybu skriptování mezi stránkami (XSS), která umožnila útočníkovi spouštět škodlivý kód, dovolil by jim zneužít doménu a ukrást všechna data profilu, která by stránky načítali od uživatele.

Chyba, která byla nyní patchována podle LinkedIn, byla označena mladým hackerem s bílým kloboukem Jack Cable, který hlásil chybu zabezpečení na LinkedIn a vytvořil ukázku důkazu o konceptu, který by ukázal, jak by mohl útočník spustit kód, který by ukradl uživatelská data.

Ačkoli LinkedIn tvrdí, že jeho plugin pro automatické vyplňování byl kompatibilní pouze s doménami, které byly na seznamu povolených, společnost Cable prokázala, že jakákoli webová stránka by mohla být zdrojem zneužití až do začátku dubna, kdy byla poprvé použita náplast.

Náplasť, která byla uvedena do činnosti v dubnu 10, podle společnosti Cable omezila automatické vyplňování pouze na stránky s povoleným obsahem. Chyba však zůstala v zásuvce, dokud na 19 Duben nebyla použita druhá patch.

LinkedIn uvedl ve svém prohlášení: "Jakmile jsme o této problematice věděli, okamžitě jsme zabránili neoprávněnému použití této funkce. Nyní tlačíme další opravu, která se bude zabývat potenciálními případy dalšího zneužívání a bude brzy zavedena.

"Zatímco jsme neviděli žádné známky zneužívání, neustále pracujeme na tom, abychom zajistili ochranu dat našich členů. Vážíme si, že výzkumník zodpovědně informuje o tom a náš tým pro bezpečnost bude nadále zůstat v kontaktu s nimi.

"Z důvodu srozumitelnosti není služba LinkedIn AutoFill obecně dostupná a funguje pouze na doménách povolených pro schválené inzerenty. Umožňuje návštěvníkům webové stránky zvolit si, aby předem vyplnili formulář s informacemi z profilu LinkedIn. "

Image credit: Bigstock

Zdroj

Napsat komentář

Tyto stránky používají Akismet k omezení spamu. Zjistěte, jak jsou vaše údaje komentářů zpracovávány.