Το ελάττωμα στο LinkedIn που απειλεί τα δεδομένα των χρηστών του

Ένα ελάττωμα στη λειτουργία AutoFill του LinkedIn, το οποίο ανακαλύφθηκε πρόσφατα, μπορεί να διαρρεύσει ευαίσθητες πληροφορίες των χρηστών εν αγνοία τους.

Μια ευπάθεια στη λειτουργία AutoFill του LinkedIn, η οποία ανακαλύφθηκε πρόσφατα και την οποία χρησιμοποιεί ο ιστότοπος για να επιτρέπει στους χρήστες να συμπληρώνουν γρήγορα φόρμες, θα μπορούσε να επιτρέπει σε χάκερ να κλέψουν το πλήρες όνομα, τον αριθμό τηλεφώνου, τη διεύθυνση ηλεκτρονικού ταχυδρομείου, τον ταχυδρομικό κώδικα, την εταιρία και τον τίτλο εργασίας τους.

Το plugin Autofill, που παρέχεται από το LinkedIn, επιτρέπει τη γρήγορη συμπλήρωση των προσωπικών στοιχείων του χρήστη με ένα μόνο κλικ. Ο ερευνητής Τζακ Κέιμπλ ανακάλυψε την ευπάθεια στις 9 Απριλίου 2018 και αμέσως την αποκάλυψε στο LinkedIn. Η εταιρεία εξέδωσε την ανακοίνωση της επιδιόρθωσης στις 10 Απριλίου, αλλά δεν ενημέρωσε το κοινό για το θέμα.

Facebook Twitter

Ο Κέιμπλ ενημέρωσε το LinkedIn ότι η διόρθωσή της ευπάθειας, η οποία περιορίζει τη χρήση της δυνατότητάς της αυτόματης συμπλήρωσης σε ιστότοπους οι οποίοι πληρώνουν το LinkedIn για να φιλοξενήσουν τις διαφημίσεις τους, εξακολουθεί να είναι ανοιχτή σε κάθε κακόβουλη χρήση.

Σύμφωνα με τον ερευνητή, ένας επιτιθέμενος θα μπορούσε να χρησιμοποιήσει την λειτουργία AutoFill σε κάθε σημείο του ιστοτόπού του, αλλάζοντας τις ιδιότητες του σχετικού button και μετατρέποντας τo σε αόρατo. Από τη στιγμή που οι χρήστες δεν θα μπορούν να δουν το κουμπί συμπλήρωσης εάν έκαναν κλικ οπουδήποτε πάνω στην οθόνη θα έστελναν όλα τις προσωπικές τους πληροφορίες στο χάκερ.

Σε δοκιμές που έκανε το TechCrunch, μέσα σε έναν ιστότοπο με εγκατεστημένο το αόρατο κουμπί αυτόματης συμπλήρωσης, διαπίστωσε ότι μπορούσε να αποσπάσει πληροφορίες με ένα μόνο κλικ στην σελίδα. Ακόμη κι αν οι χρήστες είχαν διαμορφώσει τις ρυθμίσεις απορρήτου του LinkedIn για να κρύψουν το email τους, ένα μόνο κλικ στο μοτίβο της σελίδας ήταν αρκετό για να αποσπάσει το email μαζί με άλλες πληροφορίες.

Εκπρόσωπος του LinkedIn εξέδωσε την παρακάτω δήλωση προς το TechCrunch λέγοντας ότι η εταιρεία σκοπεύει να αναπτύξει μια πιο ολοκληρωμένη λύση: «Αμέσως, μόλις πληροφορηθήκαμε το θέμα, αποκλείσαμε τη μη εξουσιοδοτημένη χρήση αυτού του χαρακτηριστικού. Τώρα προωθούμε μια άλλη λύση που θα εξετάσει όλες τις πιθανές πρόσθετες περιπτώσεις κατάχρησης και θα τεθεί σε ισχύ σύντομα. Ενώ δεν έχουμε δει σημεία κακόβουλης χρήσης, προσπαθούμε συνεχώς να διασφαλίσουμε ότι τα δεδομένα των μελών μας παραμένουν προστατευμένα. Εκτιμούμε ότι ο ερευνητής ανέφερε υπεύθυνα αυτήν την ευπάθεια στην ομάδα ασφαλείας μας, η οποία θα συνεχίσει να βρίσκεται σε επαφή μαζί του».

Όπως τονίζει το LinkedIn, για λόγους ασφαλείας, η αυτόματη συμπλήρωση δεν είναι πλέον ευρέως διαθέσιμη και λειτουργεί μόνο σε τομείς που έχουν εγκριθεί για εγκεκριμένους διαφημιζόμενους.