Un fallo de seguridad crítico se ha descubierto en LinkedIn, más específicamente en un botón sociales. La explotación del error podría haber llevado a la recolección de información de los usuarios de LinkedIn, incluyendo información que no era pública. El descubrimiento fue realizado por Jack Cable, un joven de 18 años de edad, insecto cazador de Chicago.
Más sobre el Bug LinkedIn Autocompletar
Al parecer,, la vulnerabilidad residía en función Autocompletar de la plataforma que emplea el correspondiente “Autocompletar con LinkedIn” botones que se implementan en algunos portales de empleo público. El botón de LinkedIn puede ser añadido en los formularios de solicitud de empleo, y cuando se hace clic hace una consulta a LinkedIn. Una vez que esto es una, la información del usuario se recupera y se incrustó en el formulario de aplicación de empleo.
A pesar de que estos botones son útiles, que pueden ser explotadas por cualquier sitio web para la información del usuario de la cosecha. Los botones se pueden ocultar y superpuestos en una página entera, y cualquier sitio web podría incrustarlos en secreto, modificar el tamaño del botón para cubrir la pantalla. El botón puede hacerse invisible simplemente alterando algunos ajustes CSS.
Se trata de cómo se lleva a cabo un ataque, como explicado por el joven investigador:
1. El usuario visita el sitio malicioso, que carga el botón iframe LinkedIn Autocompletar.
2. El iframe se labra por lo que ocupa toda la página y es invisible para el usuario.
3. El usuario hace clic en cualquier lugar de la página. LinkedIn interpreta esto como el botón Autocompletar siendo presionado, y envía la información a través de postMessage al sitio malicioso.
4. El sitio de recolecta la información del usuario a través de código específica.
Además, cualquier usuario que ha aterrizado en una página de este tipo puede, sin saberlo, han presentado la información a LinkedIn para el sitio web haciendo clic en cualquier parte de la página.
La explotación de este error no es una tarea difícil y podría haber sido aprovechado en el medio silvestre con fines de recolección de datos de masas. Por suerte, el error se ha corregido, con cable notificar a LinkedIn acerca del fallo. LinkedIn entonces restringido temporalmente el botón a una lista blanca con otros dominios de confianza.
Gracias a esto, atacantes no fueron capaces de explotar la función a través del mecanismo descrito anteriormente.