Fel i LinkedIn-plugin gjorde medlemmar öppna för attack

En AutoFill-plugin som erbjöds LinkedIn-medlemmar påverkades av en bugg som kunde ha gjort det möjligt för en angripare att stjäla användarnas personliga data.

Fel i LinkedIn-plugin gjorde medlemmar öppna för attack

Funktionen, som erbjuds betalande kunder av LinkedIns marknadsföringslösningar, gör att en användare kan fylla i en webbplatss formulär med sin personliga information, såsom namn, e-postadress, telefonnummer och arbetsplats, genom att klicka på en knapp.

Om någon av webbplatserna som är kompatibla med pluginet innehöll ett cross-site scripting-fel (XSS) som gjorde det möjligt för en angripare att köra skadlig kod, skulle det tillåta dem att utnyttja domänen och stjäla all profildata som webbplatserna skulle hämta från användaren.

Felet, som nu har åtgärdats enligt LinkedIn, flaggades av en tonårig white hat-hacker Jack kabel, som rapporterade sårbarheten till LinkedIn och skapade en Proof of Concept-demonstration för att visa hur en angripare kunde köra kod för att stjäla användardata.

Även om LinkedIn hävdar att dess AutoFill-plugin bara var kompatibel med domäner som den hade vitlistat, visade Cable att vilken webbplats som helst kunde ha varit en källa till missbruk fram till början av april, då en patch först applicerades.

LÄS NÄSTA: Så här tar du bort ditt LinkedIn-konto

Patchen, som togs i bruk den 10 april, enligt Cable, begränsade AutoFill till endast vitlistade webbplatser. Men buggen fanns kvar i plugin-programmet tills en andra patch applicerades den 19 april.

LinkedIn sa i ett uttalande: ”Vi förhindrade omedelbart obehörig användning av den här funktionen, när vi väl blev medvetna om problemet. Vi driver nu en annan lösning som kommer att ta itu med potentiella ytterligare missbruksfall och den kommer att vara på plats inom kort.

”Även om vi inte har sett några tecken på missbruk, arbetar vi ständigt för att säkerställa att våra medlemmars data förblir skyddade. Vi uppskattar att forskaren ansvarsfullt rapporterar detta och vårt säkerhetsteam kommer att fortsätta att hålla kontakten med dem.

”För tydlighetens skull är LinkedIn AutoFill inte allmänt tillgängligt och fungerar bara på vitlistade domäner för godkända annonsörer. Det tillåter besökare på en webbplats att välja att i förväg fylla i ett formulär med information från sin LinkedIn-profil.”

Lämna en kommentar

Din e-postadress kommer inte publiceras.