Casa > cibernético Notícias > Preenchimento automático com bug do LinkedIn pode levar à coleta de dados do usuário
CYBER NEWS

Preenchimento automático com o LinkedIn Bug poderia levar a dados do usuário de colheita

Um bug de segurança crítica foi descoberta no LinkedIn, mais especificamente em um botão sociais. A exploração do bug poderia ter levado a colheita de informações dos usuários do LinkedIn, incluindo informações que não era público. A descoberta foi feita por Jack Cable, um caçador de insetos de 18 anos de Chicago.

Mais sobre o bug de preenchimento automático do LinkedIn

Pelo visto, a vulnerabilidade residia no recurso Autopreencher da plataforma que alimenta os botões "Autopreencher com LinkedIn" correspondentes que são implementados em alguns portais de empregos públicos. O botão do LinkedIn pode ser adicionado a formulários de candidatura a empregos, e ao clicar faz uma consulta ao LinkedIn. Uma vez que este é um, as informações do usuário são recuperadas e incorporadas ao formulário de aplicativo de trabalho.

Story relacionado: LinkedIn golpes de phishing - Como detectar e evitar spam e-mails

Mesmo que esses botões sejam úteis, eles podem ser explorados por qualquer site para coletar informações do usuário. Os botões podem ser ocultados e sobrepostos em uma página inteira, e qualquer site poderia incorporá-los secretamente, modificar o tamanho do botão para cobrir a tela. O botão pode se tornar invisível simplesmente alterando algumas configurações CSS.

É assim que um ataque é realizado, Como explicado pelo jovem pesquisador:

1. O usuário visita o site malicioso, que carrega o iframe do botão Autopreencher do LinkedIn.
2. O iframe é estilizado de forma que ocupe toda a página e seja invisível para o usuário.
3. O usuário clica em qualquer lugar da página. LinkedIn interpreta isso como o botão Autopreencher sendo pressionado, e envia as informações via postMessage para o site malicioso.
4. O site coleta as informações do usuário por meio de um código específico.

além disso, qualquer usuário que tenha acessado essa página pode ter enviado informações do LinkedIn para o site, sem saber, clicando aleatoriamente na página.

Story relacionado: Violação LinkedIn Dados: 117 Milhões de contas à venda

A exploração desse bug não é uma tarefa difícil e poderia ter sido aproveitada na natureza para fins de coleta de dados em massa. Felizmente, o bug foi corrigido, com a Cable notificando o LinkedIn sobre o bug. O LinkedIn restringiu temporariamente o botão a uma lista de permissões com outros domínios confiáveis.

Graças a isto, os invasores não conseguiram explorar o recurso por meio do mecanismo descrito acima.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo