LinkedIn AutoFill-feil kan lekke personopplysninger til tredjepart og angripere

Hvorfor internett og sosiale medier er ødelagt For å bryte internett må vi ta i bruk regulering, konkurransedyktig innovasjon, samfunnsansvar, forbrukervalg og utdanning, sier Andrew Keen, teknisk skeptiker og forfatter av 'How to Fix the Future.'
Bygge et lysbilde dekk, tonehøyde eller presentasjon? Her er de store takeaways:
  • En feil i LinkedIns AutoFill-knapp kunne ha tillatt en angriper å stjele profildata ved å lage en usynlig AutoFill-iframe som tar opp en hel side, og tvinger en bruker til å sende inn data ved å klikke hvor som helst.
  • LinkedIn har erkjent feilen og lappet den. Brukere skal ikke trenge å gjøre noen tiltak og skal kunne bruke autofyllknappen sikkert.

En feil i LinkedIns AutoFill-knapp skapte potensialet for en angriper å høste sensitive profildata uten at brukeren engang visste om det.

LinkedIn har lenge tilbudt en AutoFill-knapp-plugin for betalende markedsføringsløsninger kunder, som kan legge til knappen på sine nettsteder for å la LinkedIn-brukere fylle ut profildata med et enkelt klikk.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Feilen, oppdaget av Jack Cable of Lightning Security, er allerede løst av LinkedIn. Problemet med kabeloppdagelse skulle ikke en gang ha vært mulig i utgangspunktet: LinkedIn lar bare AutoFill-knappen fungere på hviteliste domener.

Det var ikke det som kabel oppdaget: Enhver webside med knappens kode kan høste brukerinformasjon, og brukeren ville ikke engang innse at de leverte den.

Gjemmer en knapp i vanlig syn

Et legitimt nettsted som bruker AutoFill-knappen vil sannsynligvis plassere det i nærheten av feltene knappen kan fylle. Knappen trenger imidlertid ikke være der, for ifølge Kabel kan "AutoFill-knappen gjøres usynlig og spenne over hele siden, noe som får en bruker til å klikke hvor som helst for å sende brukerens informasjon til nettstedet."

Alt en angriper trenger, er knappens kode og kunnskapen om å bygge en usynlig, nettstedspennende iframe.

Cable bygde en testside for å demonstrere feilen (sørg for at du er logget inn på LinkedIn når du prøver den), og viser at den kan hente for- og etternavn, e-postadresser, arbeidsgivere og beliggenhet. Denne informasjonen kan ikke virke som mye, spesielt siden mye av den allerede er offentlig, men den kan brukes til å utføre identitetssvindel og andre forbrytelser.

AutoFill-feilen ble oppdaget 9. april 2018, og har 19. april blitt oppdatert av LinkedIn. LinkedIn sa at den ikke fant noen kjente tilfeller av utnyttelse, og med feilen som nå er oppdaterte brukere burde kunne bruke AutoFill-knappen uten bekymring.

Kabel påpeker at et kompromiss på hvitlistede nettsteder kunne ha tillatt en angriper å høste data ved hjelp av en usynlig AutoFill-knapp. Ifølge LinkedIn har det kanskje ikke skjedd denne gangen, men sikkerhetskompromisser på grunn av uforsiktig koding er altfor vanlig og altfor ødeleggende for de berørte.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

Se også

  • Ni måter å forsvinne fra internett (gratis PDF) (TechRepublic)
  • LinkedIn-feil tillot å stjele data fra brukerprofiler (ZDNet)
  • De 10 vanligste typene malware, og hvordan du kan unngå dem (TechRepublic)
  • Sosiale medier kan ikke klareres uten disse funksjonene (ZDNet)
  • Hvorfor menneskelige sårbarheter er farligere for bedriften din enn programvarefeil (TechRepublic)

© Copyright 2020 | mobilegn.com