Un plug-in AutoFill offerto ai membri di LinkedIn è stato interessato da un bug che avrebbe potuto consentire a un utente malintenzionato di rubare i dati personali degli utenti.
La funzione, offerta ai clienti paganti delle soluzioni di marketing di LinkedIn, consente a un utente di riempire un sito web modulo con le loro informazioni personali, come nome, indirizzo e-mail, numero di telefono e luogo di lavoro, con un clic di a pulsante.
Se uno qualsiasi dei siti Web compatibili con il plug-in conteneva un difetto di cross-site scripting (XSS) che ha consentito a un utente malintenzionato di eseguire codice dannoso, consentirebbe loro di sfruttare il dominio e rubare tutti i dati del profilo che i siti recupererebbero dal utente.
Vedi correlati
Il difetto, che ora è stato corretto secondo LinkedIn, è stato segnalato da un hacker adolescente con cappello bianco Cavo jack, che ha segnalato la vulnerabilità a LinkedIn e ha creato una dimostrazione Proof of Concept per mostrare come un utente malintenzionato potrebbe eseguire codice per rubare i dati degli utenti.
Sebbene LinkedIn affermi che il suo plug-in di Compilazione automatica era compatibile solo con i domini che aveva inserito nella whitelist, Cable ha dimostrato che qualsiasi sito Web avrebbe potuto essere fonte di abusi fino all'inizio di aprile, quando è stata introdotta per la prima volta una patch applicato.
LEGGI SUCCESSIVO: Come eliminare il tuo account LinkedIn
La patch, entrata in vigore il 10 aprile, secondo Cable, limitava il riempimento automatico solo ai siti autorizzati. Ma il bug è rimasto nel plugin fino a quando non è stata applicata una seconda patch il 19 aprile.
LinkedIn ha dichiarato in una dichiarazione: “Abbiamo immediatamente impedito l'uso non autorizzato di questa funzione, una volta che siamo stati informati del problema. Stiamo ora spingendo un'altra correzione che risolverà potenziali ulteriori casi di abuso e sarà implementata a breve.
“Sebbene non abbiamo riscontrato alcun segno di abuso, lavoriamo costantemente per garantire che i dati dei nostri membri rimangano protetti. Apprezziamo il ricercatore che ha segnalato responsabilmente questo e il nostro team di sicurezza continuerà a rimanere in contatto con loro.
“Per chiarezza, LinkedIn AutoFill non è ampiamente disponibile e funziona solo su domini autorizzati per inserzionisti approvati. Consente ai visitatori di un sito Web di scegliere di precompilare un modulo con le informazioni dal proprio profilo LinkedIn.
