Doplnok AutoFill ponúkaný členom LinkedIn bol ovplyvnený chybou, ktorá mohla útočníkovi umožniť ukradnúť osobné údaje používateľov.
![Chyba doplnku LinkedIn spôsobila, že členovia boli otvorení útoku](/f/83058ea4c60b7fdbac980532898ec765.jpg)
Funkcia, ktorá je ponúkaná platiacim zákazníkom marketingových riešení LinkedIn, umožňuje používateľovi vyplniť formulár s ich osobnými údajmi, ako je meno, e-mailová adresa, telefónne číslo a miesto výkonu práce, kliknutím na a tlačidlo.
Ak ktorákoľvek z webových stránok kompatibilných s doplnkom obsahovala chybu skriptovania medzi stránkami (XSS), ktorá útočníkovi umožnila spustiť škodlivý kód, umožnilo by im to zneužiť doménu a ukradnúť akékoľvek profilové údaje, ktoré by stránky získali užívateľ.
Pozri súvisiace
Chybu, ktorá bola teraz podľa LinkedIn opravená, označil tínedžerský hacker v bielom klobúku Jack kábel, ktorý nahlásil zraniteľnosť LinkedIn a vytvoril ukážku Proof of Concept, aby ukázal, ako by útočník mohol spustiť kód na ukradnutie používateľských údajov.
Hoci LinkedIn tvrdí, že jeho doplnok AutoFill bol kompatibilný iba s doménami, ktoré pridal na bielu listinu, Cable demonštrovali, že každá webová stránka mohla byť zdrojom zneužívania až do začiatku apríla, keď bola prvá oprava aplikovaný.
ČÍTAJTE ĎALEJ: Ako odstrániť svoj účet LinkedIn
Oprava, uvedená do činnosti 10. apríla, podľa Cable obmedzila automatické dopĺňanie iba na stránky na zozname povolených. Chyba však zostala v doplnku až do aplikovania druhej opravy 19. apríla.
LinkedIn vo vyhlásení uviedol: „Okamžite sme zabránili neoprávnenému použitiu tejto funkcie, len čo sme sa o probléme dozvedeli. Teraz presadzujeme ďalšiu opravu, ktorá sa bude zaoberať prípadnými ďalšími prípadmi zneužitia, a čoskoro bude zavedená.
„Aj keď sme nezaznamenali žiadne známky zneužitia, neustále pracujeme na tom, aby sme zabezpečili, že údaje našich členov zostanú chránené. Oceňujeme, že výskumník to zodpovedne nahlásil a náš bezpečnostný tím s nimi zostane aj naďalej v kontakte.
„Pre prehľadnosť, LinkedIn AutoFill nie je široko dostupné a funguje iba na povolených doménach pre schválených inzerentov. Umožňuje návštevníkom webovej lokality vopred vyplniť formulár informáciami z ich profilu LinkedIn.“