LinkedIn AutoFillプラグインバグの左のユーザーデータが公開されました

 

この脆弱性により、攻撃者は個人情報を盗み出すことはできませんでした

LinkedInメンバーに提供されるAutoFillプラグインは、攻撃者がユーザーの個人データを盗む可能性のあるバグの影響を受けました。

LinkedInのマーケティングソリューションの有料顧客に提供されるこの機能により、ユーザーはボタンをクリックするだけで、名前、電子メールアドレス、電話番号、勤務地などの個人情報をWebサイトのフォームに入力できます。

プラグインと互換性のあるWebサイトのいずれかに、クロスサイトスクリプティング(XSS)の欠陥が含まれていた場合、攻撃者は悪意のあるコードを実行する可能性があり、ユーザーがドメインを悪用して、サイトがユーザーから取得するプロファイルデータを盗み出す可能性があります。

LinkedInによると今修正されているこの欠陥は、十代の白人帽子ハッカー ジャックケーブルは、この脆弱性をLinkedInに報告し、攻撃者がコードを実行してユーザーデータを盗む方法を示す概念実証デモを作成しました。

LinkedInはAutoFillプラグインがホワイトリストに登録されていたドメインとのみ互換性があると主張しているが、パッチが最初に適用された4月初めまでにWebサイトが悪用されている可能性がある。

Cable氏によると、10 4月号に掲載されたこのパッチは、AutoFillをホワイトリストに登録されたサイトに限定したものだ。 しかし、19 Aprilに2番目のパッチが適用されるまで、バグはプラグインに残りました。

LinkedInは声明の中で、次のように述べています。 現在、潜在的な追加の不正使用ケースに対処する別の修正をプッシュしており、まもなく実施される予定です。

「悪用の兆候は見られませんが、メンバーのデータを保護するために常に取り組んでいます。 研究者が責任を持ってこれを報告してくれたことに感謝し、セキュリティチームは引き続き彼らと連絡を取り合います。

「わかりやすくするために、LinkedIn AutoFillは広く利用可能ではなく、承認された広告主のホワイトリストに登録されたドメインでのみ機能します。 これにより、Webサイトへの訪問者は、LinkedInプロファイルからの情報をフォームに事前入力することを選択できます。」

イメージクレジット:Bigstock

ソース