LinkedIn-plugin-fejl efterlod medlemmer åbne for angreb

Et AutoFyld-plugin, der blev tilbudt LinkedIn-medlemmer, var påvirket af en fejl, der kunne have givet en angriber mulighed for at stjæle brugernes personlige data.

Funktionen, som tilbydes betalende kunder af LinkedIns Marketing Solutions, giver en bruger mulighed for at udfylde en hjemmesides formular med deres personlige oplysninger, såsom navn, e-mailadresse, telefonnummer og arbejdsplads, ved et klik på en knap.

Hvis nogen af ​​de websteder, der er kompatible med pluginnet, indeholdt en cross-site scripting (XSS) fejl, der gjorde det muligt for en hacker at køre ondsindet kode, ville det give dem mulighed for at udnytte domænet og stjæle profildata, som webstederne ville hente fra bruger.

 Fejlen, som nu er blevet rettet ifølge LinkedIn, blev markeret af en teenage-white hat-hacker Jack kabel, der rapporterede sårbarheden til LinkedIn og oprettede en Proof of Concept-demonstration for at vise, hvordan en angriber kunne køre kode for at stjæle brugerdata.

Selvom LinkedIn hævder, at dets AutoFill-plugin kun var kompatibelt med domæner, som det havde hvidlistet, Cable demonstreret, at enhver hjemmeside kunne have været en kilde til misbrug indtil begyndelsen af ​​april, hvor en patch var først anvendt.

LÆS NÆSTE: Sådan sletter du din LinkedIn-konto

Patchen, der blev sat i værk den 10. april, begrænsede ifølge Cable AutoFyld kun til hvidlistede websteder. Men fejlen forblev i plugin'et, indtil en anden patch blev anvendt den 19. april.

LinkedIn sagde i en erklæring: "Vi forhindrede straks uautoriseret brug af denne funktion, da vi blev gjort opmærksomme på problemet. Vi skubber nu på en anden rettelse, der vil løse potentielle yderligere misbrugssager, og den vil være på plads inden længe.

“Selvom vi ikke har set tegn på misbrug, arbejder vi konstant på at sikre, at vores medlemmers data forbliver beskyttet. Vi sætter pris på, at forskeren ansvarligt rapporterer dette, og vores sikkerhedsteam vil fortsat holde kontakten med dem.

"For klarhedens skyld er LinkedIn AutoFill ikke bredt tilgængelig og virker kun på hvidlistede domæner for godkendte annoncører. Det giver besøgende på et websted mulighed for at vælge at forhåndsudfylde en formular med oplysninger fra deres LinkedIn-profil."