LinkedIn AutoFill plugin bug venstre bruger data eksponeret

Fejlen, nu patched, kunne have tilladt angriberne at stjæle personlige data uopdaget

Et AutoFill-plugin, der blev tilbudt til LinkedIn-medlemmer, blev ramt af en fejl, der kunne have tilladt en hacker at stjæle brugernes personlige data.

Funktionen, som tilbydes at betale kunder hos LinkedIn's Marketing Solutions, giver en bruger mulighed for at udfylde et websteds formular med deres personlige oplysninger, som f.eks. Navn, e-mail-adresse, telefonnummer og arbejdsplads ved et enkelt klik.

Hvis nogen af ​​de websteder, der er kompatible med plugin'et, indeholdt en fejl i cross-site scripting (XSS), der gjorde det muligt for en hacker at køre ondsindet kode, ville det tillade dem at udnytte domænet og stjæle eventuelle profildata, som webstederne skulle hente fra brugeren.

Fejlen, som nu er patchet ifølge LinkedIn, blev markeret af teenage white hat hacker Jack-kabel, der rapporterede sårbarheden til LinkedIn og oprettet en demonstration af koncept demonstration for at vise, hvordan en angriber kunne køre kode for at stjæle brugerdata.

Selvom LinkedIn hævder, at dens AutoFill-plugin kun var kompatibel med domæner, den havde hvidlistet, viste Cable, at ethvert websted kunne have været en kilde til misbrug indtil begyndelsen af ​​april, da en patch blev anvendt først.

Patchen, der blev sat i akt på 10 April, ifølge Cable, begrænsede AutoFill kun til hvidlistede websteder. Men fejlen forblev i plugin, indtil en anden patch blev påført på 19 April.

LinkedIn sagde i en erklæring: "Vi forhindrede straks uautoriseret brug af denne funktion, når vi blev gjort opmærksom på problemet. Vi skubber nu en anden løsning, der vil løse potentielle yderligere misbrugssager, og det kommer snart på plads.

"Selvom vi ikke har set tegn på misbrug, arbejder vi konstant for at sikre, at vores medlemmers data forbliver beskyttet. Vi sætter pris på, at forskeren rapporterer dette ansvarligt, og vores sikkerhedshold vil fortsætte med at holde kontakten med dem.

"For klarhed er LinkedIn AutoFill ikke bredt tilgængelig og fungerer kun på hvidlistede domæner for godkendte annoncører. Det giver besøgende på en hjemmeside mulighed for at vælge at pre-udfylde en formular med oplysninger fra deres LinkedIn-profil. "

Billedkredit: Bigstock

Kilde

relaterede indlæg

Efterlad et svar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.