LinkedIn AutoFill plugin bug venstre brukerdata eksponert

 

Feilen, nå patched, kunne ha gitt angripere til å stjele personlige data uoppdaget

Et plugin for autofyll som ble tilbudt LinkedIn-medlemmer, ble påvirket av en feil som kunne ha tillatt en angriper å stjele brukernes personlige data.

Funksjonen, som tilbys betalende kunder fra LinkedIn's Marketing Solutions, lar en bruker fylle ut et nettsteds skjema med sin personlige informasjon, for eksempel navn, e-postadresse, telefonnummer og arbeidssted, ved å klikke på en knapp.

Hvis noen av nettstedene som er kompatible med pluginet inneholdt en feil på tvers av nettsider (XSS), som gjorde at en angriper kunne kjøre ondsinnet kode, ville det tillate dem å utnytte domenet og stjele alle profildata som nettstedene skulle hente fra brukeren.

Feilen, som nå er patched i henhold til LinkedIn, ble flagget av teenage white hat hacker Jack-kabel, som rapporterte sårbarheten til LinkedIn og opprettet en demonstrasjonsbevis for å vise hvordan en angriper kan kjøre kode for å stjele brukerdata.

Selv om LinkedIn hevder at Autofyll-pluginet bare var kompatibelt med domener som den hadde whitelisted, viste Cable at et hvilket som helst nettsted kunne ha vært en kilde til misbruk til begynnelsen av april, da en patch ble først brukt.

Plasten, satt i bruk på 10 april, ifølge Cable, begrenset AutoFill til hvitelistede nettsteder. Men feilen forblir i pluggen til en andre lapp ble brukt på 19 april.

LinkedIn sa i en uttalelse: “Vi forhindret umiddelbart uautorisert bruk av denne funksjonen, når vi først ble gjort kjent med problemet. Vi presser nå på en ny løsning som vil løse potensielle ytterligere misbrukssaker, og den vil være på plass snart.

“Selv om vi ikke har sett noen tegn til misbruk, jobber vi kontinuerlig for å sikre at medlemmene deres data forblir beskyttet. Vi setter pris på at forskeren rapporterer dette ansvarlig, og sikkerhetsteamet vårt vil fortsette å holde kontakten med dem.

“For klarhetens skyld er LinkedIn AutoFill ikke bredt tilgjengelig og fungerer bare på godkjente domener på godkjente domener. Det lar besøkende på et nettsted velge å forhåndsutfylle et skjema med informasjon fra sin LinkedIn-profil. ”

Bilde kreditt: Bigstock

kilde