Плагин автозаполнения, предлагаемый участникам LinkedIn, был подвержен ошибке, которая могла позволить злоумышленнику украсть личные данные пользователей.
![Недостаток плагина LinkedIn сделал участников уязвимыми для атак](/f/83058ea4c60b7fdbac980532898ec765.jpg)
Эта функция, предлагаемая платным клиентам маркетинговых решений LinkedIn, позволяет пользователю заполнить веб-сайт. форме с их личной информацией, такой как имя, адрес электронной почты, номер телефона и место работы, одним нажатием кнопки кнопка.
Если какой-либо из веб-сайтов, совместимых с плагином, содержит уязвимость межсайтового скриптинга (XSS), позволяющую злоумышленнику запустить вредоносный код, это позволит им использовать домен и украсть любые данные профиля, которые сайты могут получить с пользователь.
Смотрите связанные
Уязвимость, которая, согласно LinkedIn, уже исправлена, была отмечена подростком-хакером в белой шляпе. Джек Кейбл, который сообщил об уязвимости в LinkedIn и создал демонстрацию Proof of Concept, чтобы показать, как злоумышленник может запустить код для кражи пользовательских данных.
Хотя LinkedIn утверждает, что его плагин AutoFill совместим только с доменами, внесенными в белый список, Cable продемонстрировали, что любой веб-сайт мог быть источником злоупотреблений до начала апреля, когда был выпущен первый патч. применяемый.
ЧИТАЙТЕ СЛЕДУЮЩИЙ: Как удалить свою учетную запись LinkedIn
Патч, введенный в действие 10 апреля, согласно Cable, ограничил автозаполнение только сайтами из белого списка. Но ошибка оставалась в плагине до тех пор, пока 19 апреля не был применен второй патч.
В заявлении LinkedIn говорится: «Мы немедленно предотвратили несанкционированное использование этой функции, как только нам стало известно о проблеме. Сейчас мы выпускаем еще одно исправление, которое устранит потенциальные дополнительные случаи злоупотреблений, и оно будет введено в действие в ближайшее время.
«Хотя мы не видели никаких признаков злоупотреблений, мы постоянно работаем над тем, чтобы данные наших участников оставались защищенными. Мы ценим исследователя, ответственно сообщившего об этом, и наша служба безопасности будет продолжать поддерживать с ним связь.
«Для ясности, LinkedIn AutoFill не является общедоступным и работает только на доменах, внесенных в белый список для утвержденных рекламодателей. Это позволяет посетителям веб-сайта предварительно заполнить форму информацией из своего профиля LinkedIn».