Jeden z tzw. "white hat hakerów", Jack Cable odkrył poważną podatność w serwisie Linkedin. Okazuje się, że wprawni cyberprzestępcy mogli dzięki niej wykraść dane użytkowników platformy. Microsoft jest w trakcie wyjaśniania tego błędu.
Bezpieczeństwo w sieci
Spory błąd w Linkedin. Pozwalał na wykradzenie danych użytkowników
Usługa autouzupełniania danych w serwisie oraz podatność typu XSS pozwalała innym stronom internetowym na pozyskiwanie danych o użytkownikach platformy Linkedin. Mechanizm co prawda działał jedynie na zweryfikowanych serwisach, gdzie uzupełniane były takie dane jak adres e-mail, historia zawodowa, lokalizacja. Niestety, dodanie strony internetowej do "listy zaufanych" nie było zbytnio skomplikowane i mogło się skończyć na tym, że cyberprzestępcy mogli wykorzystać tę możliwość do swoich celów.
To cię zainteresuje Przeglądanie stron w Androidzie będzie bezpieczniejsze. Oto dlaczegoLogowałeś się kiedyś "z Facebookiem"? Możesz mieć spory problem
Stworzony na potrzeby zobrazowania tego błędu exploit bazował na ukryciu przycisku "autofill" na stronie w taki sposób, by kliknięcie gdziekolwiek spowodowało autouzupełnienie wszelkich danych z serwisu Linkedin. Oczywiście, ten fakt również był ukryty przed użytkownikiem. Takie zachowanie mogło spowodować przejęcie tych informacji przez osoby niepowołane.
Linkedin już zareagował na ten błąd
Usługodawca pozbył się tego błędu, wkrótce ma zostać wydana kolejna poprawka, która zostanie zaadresowana innym złośliwym możliwościom użycia tego mechanizmu. Niemniej, w toku śledztwa Linkedin nie wykazał żadnych oznak wykorzystania tego błędu, a zatem użytkownicy mogą być spokojni o swoje dane. Usługodawca przypomniał, że usługa autouzupełniania danych z Linkedin działa jedynie na zweryfikowanych stronach internetowych i jest potencjalnie niedostępna dla cyberprzestępców.
Więcej szczegółów na temat możliwości wykorzystania załatanej już podatności znajduje się w Lighting Security.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
