linkedin
1

Spory błąd w Linkedin. Pozwalał na wykradzenie danych użytkowników

Jeden z tzw. "white hat hakerów", Jack Cable odkrył poważną podatność w serwisie Linkedin. Okazuje się, że wprawni cyberprzestępcy mogli dzięki niej wykraść dane użytkowników platformy. Microsoft jest w trakcie wyjaśniania tego błędu.

Usługa autouzupełniania danych w serwisie oraz podatność typu XSS pozwalała innym stronom internetowym na pozyskiwanie danych o użytkownikach platformy Linkedin. Mechanizm co prawda działał jedynie na zweryfikowanych serwisach, gdzie uzupełniane były takie dane jak adres e-mail, historia zawodowa, lokalizacja. Niestety, dodanie strony internetowej do „listy zaufanych” nie było zbytnio skomplikowane i mogło się skończyć na tym, że cyberprzestępcy mogli wykorzystać tę możliwość do swoich celów.

Stworzony na potrzeby zobrazowania tego błędu exploit bazował na ukryciu przycisku „autofill” na stronie w taki sposób, by kliknięcie gdziekolwiek spowodowało autouzupełnienie wszelkich danych z serwisu Linkedin. Oczywiście, ten fakt również był ukryty przed użytkownikiem. Takie zachowanie mogło spowodować przejęcie tych informacji przez osoby niepowołane.

linkedin autofill

Linkedin już zareagował na ten błąd

Usługodawca pozbył się tego błędu, wkrótce ma zostać wydana kolejna poprawka, która zostanie zaadresowana innym złośliwym możliwościom użycia tego mechanizmu. Niemniej, w toku śledztwa Linkedin nie wykazał żadnych oznak wykorzystania tego błędu, a zatem użytkownicy mogą być spokojni o swoje dane. Usługodawca przypomniał, że usługa autouzupełniania danych z Linkedin działa jedynie na zweryfikowanych stronach internetowych i jest potencjalnie niedostępna dla cyberprzestępców.

Więcej szczegółów na temat możliwości wykorzystania załatanej już podatności znajduje się w Lighting Security.