Bug de plugin de preenchimento automático do LinkedIn deixou dados do usuário expostos

A falha, agora corrigida, poderia ter permitido que invasores roubassem dados pessoais sem serem detectados.

Um plug-in de preenchimento automático oferecido aos membros do LinkedIn foi afetado por um bug que poderia permitir que um invasor roubasse os dados pessoais dos usuários.

O recurso, que é oferecido a clientes pagantes das Soluções de Marketing do LinkedIn, permite que um usuário preencha o formulário de um site com suas informações pessoais, como nome, endereço de e-mail, número de telefone e local de trabalho, com o clique de um botão.

Se algum dos sites compatíveis com o plug-in contivesse uma falha de script entre sites (XSS) que permitisse a um invasor executar código mal-intencionado, ele permitiria que explorassem o domínio e roubassem os dados de perfil que os sites recuperariam do usuário.

A falha, que agora foi corrigida de acordo com o LinkedIn, foi sinalizada por um hacker de chapéu branco adolescente. Jack Cable, que relatou a vulnerabilidade ao LinkedIn e criou uma demonstração de prova de conceito para mostrar como um invasor pode executar código para roubar dados do usuário.

Embora o LinkedIn afirme que seu plug-in de AutoPreenchimento só era compatível com domínios que havia na lista de permissões, a Cable demonstrou que qualquer site pode ter sido uma fonte de abuso até o início de abril, quando um patch foi aplicado pela primeira vez.

O patch, colocado em ação no 10 de abril, de acordo com a Cable, restringiu o AutoFill somente a sites permitidos. Mas o bug permaneceu no plugin até que um segundo patch fosse aplicado no 19 April.

LinkedIn disse em um comunicado: "Imediatamente impedimos o uso não autorizado deste recurso, uma vez que foram informados do problema. Estamos agora promovendo outra correção que abordará possíveis casos adicionais de abuso e que será implementada em breve.

“Embora não tenhamos visto sinais de abuso, estamos constantemente trabalhando para garantir que os dados de nossos membros permaneçam protegidos. Agradecemos ao pesquisador por informar isso de maneira responsável e nossa equipe de segurança continuará em contato com eles.

“Para maior clareza, o preenchimento automático do LinkedIn não está amplamente disponível e só funciona em domínios permitidos para anunciantes aprovados. Ele permite que os visitantes de um site escolham pré-preencher um formulário com informações do perfil do LinkedIn. ”

Crédito da imagem: Bigstock

fonte

post relacionado

Deixe um comentário

Este site usa o Akismet para reduzir o spam. Saiba como seus dados de comentário são processados.