Un bug de sécurité critique a été découverte dans LinkedIn, plus précisément dans un bouton sociale. L'exploit du bug aurait pu conduire à la récolte de l'information des utilisateurs LinkedIn, y compris l'information qui n'a pas été publique. La découverte a été faite par Jack Câble, un chasseur de bug âgé de 18 ans de Chicago.
En savoir plus sur le Bug LinkedIn Autofill
Apparemment, la vulnérabilité réside dans la fonction de plate-forme de remplissage automatique qui alimente les boutons correspondants « avec LinkedIn AutoFill » qui sont mises en œuvre sur certains portails d'emploi publics. Le bouton LinkedIn peut être ajouté sur les formulaires de demande d'emploi, et sur une requête en cliquant fait sur LinkedIn. Une fois que c'est un, les informations de l'utilisateur est récupéré et intégré sur le formulaire d'application de l'emploi.
Même si ces boutons sont utiles, ils peuvent être exploités par un site Web à l'information utilisateur de récolte. Les boutons peuvent être cachés et superposées sur une page entière, et un site Web pourrait les intégrer en secret, la modification de la taille du bouton pour couvrir l'écran. Le bouton peut devenir invisible simplement en modifiant certains paramètres CSS.
Voici comment une attaque est effectuée, comme expliqué par le jeune chercheur:
1. L'utilisateur visite le site malveillant, qui charge le bouton AutoFill LinkedIn iframe.
2. Le iframe est de style donc il prend toute la page et est invisible à l'utilisateur.
3. L'utilisateur clique partout sur la page. LinkedIn interprète comme le bouton AutoFill pressé, et envoie les informations via postMessage sur le site malveillant.
4. Le site récolte les informations de l'utilisateur via un code spécifique.
En outre, tout utilisateur qui a atterri sur une telle page peut avoir fourni des informations sans le savoir LinkedIn sur le site en cliquant au hasard sur la page.
L'exploit de ce bug n'est pas une tâche difficile et aurait pu être tiré parti dans la nature à des fins de récolte de données de masse. Heureusement, le bug a été corrigé, avec câble LinkedIn notification au sujet du bug. LinkedIn alors limité temporairement le bouton à une liste blanche avec d'autres domaines de confiance.
Grâce à ça, les attaquants ont été incapables d'exploiter la fonction via le mécanisme décrit ci-dessus.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: