Um bug de segurança crítica foi descoberta no LinkedIn, mais especificamente em um botão sociais. A exploração do bug poderia ter levado a colheita de informações dos usuários do LinkedIn, incluindo informações que não era público. A descoberta foi feita por Jack Cable, um caçador de insetos de 18 anos de Chicago.
Mais sobre o bug de preenchimento automático do LinkedIn
Pelo visto, a vulnerabilidade residia no recurso Autopreencher da plataforma que alimenta os botões "Autopreencher com LinkedIn" correspondentes que são implementados em alguns portais de empregos públicos. O botão do LinkedIn pode ser adicionado a formulários de candidatura a empregos, e ao clicar faz uma consulta ao LinkedIn. Uma vez que este é um, as informações do usuário são recuperadas e incorporadas ao formulário de aplicativo de trabalho.
Mesmo que esses botões sejam úteis, eles podem ser explorados por qualquer site para coletar informações do usuário. Os botões podem ser ocultados e sobrepostos em uma página inteira, e qualquer site poderia incorporá-los secretamente, modificar o tamanho do botão para cobrir a tela. O botão pode se tornar invisível simplesmente alterando algumas configurações CSS.
É assim que um ataque é realizado, Como explicado pelo jovem pesquisador:
1. O usuário visita o site malicioso, que carrega o iframe do botão Autopreencher do LinkedIn.
2. O iframe é estilizado de forma que ocupe toda a página e seja invisível para o usuário.
3. O usuário clica em qualquer lugar da página. LinkedIn interpreta isso como o botão Autopreencher sendo pressionado, e envia as informações via postMessage para o site malicioso.
4. O site coleta as informações do usuário por meio de um código específico.
além disso, qualquer usuário que tenha acessado essa página pode ter enviado informações do LinkedIn para o site, sem saber, clicando aleatoriamente na página.
A exploração desse bug não é uma tarefa difícil e poderia ter sido aproveitada na natureza para fins de coleta de dados em massa. Felizmente, o bug foi corrigido, com a Cable notificando o LinkedIn sobre o bug. O LinkedIn restringiu temporariamente o botão a uma lista de permissões com outros domínios confiáveis.
Graças a isto, os invasores não conseguiram explorar o recurso por meio do mecanismo descrito acima.