Plugin IsiOtomatis yang ditawarkan kepada anggota LinkedIn dipengaruhi oleh bug yang memungkinkan penyerang mencuri data pribadi pengguna.
Fitur yang ditawarkan kepada pelanggan berbayar Solusi Pemasaran LinkedIn memungkinkan pengguna untuk mengisi situs web formulir dengan informasi pribadi mereka, seperti nama, alamat email, nomor telepon dan tempat kerja, di klik a tombol.
Jika salah satu situs web yang kompatibel dengan plugin berisi cacat cross-site scripting (XSS) yang memungkinkan penyerang menjalankan kode berbahaya, itu akan memungkinkan mereka untuk mengeksploitasi domain dan mencuri data profil apa pun yang akan diambil situs dari pengguna.
Lihat terkait
Cacat, yang sekarang telah ditambal menurut LinkedIn, ditandai oleh peretas topi putih remaja Kabel jack, yang melaporkan kerentanan ke LinkedIn dan membuat demonstrasi Proof of Concept untuk menunjukkan bagaimana penyerang dapat menjalankan kode untuk mencuri data pengguna.
Meskipun LinkedIn mengklaim plugin IsiOtomatisnya hanya kompatibel dengan domain yang telah masuk daftar putih, Cable menunjukkan bahwa situs web apa pun dapat menjadi sumber penyalahgunaan hingga awal April, saat tambalan pertama kali dibuat terapan.
BACA SELANJUTNYA: Cara menghapus akun LinkedIn Anda
Tambalan, diberlakukan pada 10 April, menurut Cable, membatasi IsiOtomatis hanya untuk situs yang masuk daftar putih. Tapi bug tetap ada di plugin sampai tambalan kedua diterapkan pada 19 April.
LinkedIn mengatakan dalam sebuah pernyataan: “Kami segera mencegah penggunaan fitur ini secara tidak sah, setelah kami mengetahui masalah tersebut. Kami sekarang mendorong perbaikan lain yang akan mengatasi potensi kasus penyalahgunaan tambahan dan akan segera dilakukan.
“Meskipun kami tidak melihat tanda-tanda penyalahgunaan, kami terus bekerja untuk memastikan data anggota kami tetap terlindungi. Kami menghargai peneliti yang secara bertanggung jawab melaporkan hal ini dan tim keamanan kami akan terus berhubungan dengan mereka.
“Untuk lebih jelasnya, LinkedIn AutoFill tidak tersedia secara luas dan hanya berfungsi pada domain yang masuk daftar putih untuk pengiklan yang disetujui. Ini memungkinkan pengunjung situs web untuk memilih mengisi formulir dengan informasi dari profil LinkedIn mereka.”
