Το σύνδεσμο αυτόματης συμπλήρωσης του LinkedIn σφάλματος έφερε σε κίνδυνο τα δεδομένα του χρήστη

 

Το ελάττωμα, που έχει ήδη επιδιορθωθεί, θα μπορούσε να έχει επιτρέψει στους επιτιθέμενους να κλέψουν τα προσωπικά δεδομένα που δεν έχουν εντοπιστεί

Ένα πρόσθετο Αυτόματης Συμπλήρωσης που προσφέρεται στα μέλη του LinkedIn επηρεάστηκε από ένα σφάλμα που θα μπορούσε να επιτρέψει σε έναν εισβολέα να κλέψει τα προσωπικά δεδομένα των χρηστών.

Η δυνατότητα, η οποία προσφέρεται στους πελάτες πληρωμών των λύσεων μάρκετινγκ του LinkedIn, επιτρέπει στον χρήστη να συμπληρώσει τη φόρμα ενός ιστότοπου με τα προσωπικά του στοιχεία, όπως όνομα, διεύθυνση email, αριθμό τηλεφώνου και τόπος εργασίας, με το πάτημα ενός κουμπιού.

Εάν οποιοσδήποτε από τους ιστοτόπους που είναι συμβατοί με το plugin περιέχει σφάλμα XSS (cross-site scripting) που επέτρεψε σε έναν εισβολέα να εκτελέσει κακόβουλο κώδικα, θα του επέτρεπε να εκμεταλλευτεί τον τομέα και να κλέψει τα δεδομένα προφίλ που θα ανακτούσαν οι χρήστες από τον ιστότοπο.

Το ελάττωμα, το οποίο έχει πλέον διορθωθεί σύμφωνα με το LinkedIn, επισημάνθηκε από εφηβικό λευκό καπέλο χάκερ Jack Cable, ο οποίος ανέφερε την ευπάθεια στο LinkedIn και δημιούργησε μια επίδειξη Proof of Concept για να δείξει πώς ένας εισβολέας θα μπορούσε να εκτελέσει κώδικα για να κλέψει δεδομένα χρήστη.

Παρόλο που το LinkedIn ισχυρίζεται ότι το plugin αυτόματης συμπλήρωσης ήταν συμβατό μόνο με τομείς που είχε τεθεί σε λίστα με λευκώματα, η Cable απέδειξε ότι οποιοσδήποτε ιστότοπος θα μπορούσε να αποτελέσει πηγή κακοποίησης μέχρι τις αρχές Απριλίου, όταν εφαρμόστηκε αρχικά μια ενημερωμένη έκδοση κώδικα.

Το έμπλαστρο, το οποίο τέθηκε σε εφαρμογή τον Απρίλιο του 10, σύμφωνα με το Cable, περιορίζει την αυτόματη συμπλήρωση μόνο στις τοποθεσίες που βρίσκονται σε λευχαιμία. Αλλά το σφάλμα παρέμεινε στο plugin μέχρι να εφαρμοστεί ένα δεύτερο patch στον 19 Απρίλιο.

Το LinkedIn είπε σε μια δήλωση: «Αποτρέψαμε αμέσως τη μη εξουσιοδοτημένη χρήση αυτής της δυνατότητας, μόλις ενημερωθήκαμε για το ζήτημα. Τώρα προωθούμε μια άλλη λύση που θα αντιμετωπίσει πιθανές επιπλέον περιπτώσεις κατάχρησης και θα τεθεί σε εφαρμογή σύντομα.

«Ενώ δεν έχουμε δει σημάδια κακοποίησης, εργαζόμαστε συνεχώς για να διασφαλίσουμε ότι τα δεδομένα των μελών μας θα παραμείνουν προστατευμένα. Εκτιμούμε τον ερευνητή που το αναφέρει υπεύθυνα και η ομάδα ασφαλείας μας θα συνεχίσει να παραμένει σε επαφή μαζί τους.

"Για λόγους σαφήνειας, η Αυτόματη Συμπλήρωση LinkedIn δεν είναι ευρέως διαθέσιμη και λειτουργεί μόνο σε τομείς που επιτρέπονται στους εγκεκριμένους διαφημιζόμενους. Επιτρέπει στους επισκέπτες ενός ιστότοπου να επιλέξουν να συμπληρώσουν μια φόρμα με πληροφορίες από το προφίλ τους στο LinkedIn. "

Πιστοποίηση εικόνας: Bigstock

Πηγή