Casa > cibernético Notícias > Preenchimento automático com bug do LinkedIn pode levar à coleta de dados do usuário
CYBER NEWS

Preenchimento automático com o LinkedIn Bug poderia levar a dados do usuário de colheita

Um bug de segurança crítica foi descoberta no LinkedIn, mais especificamente em um botão sociais. A exploração do bug poderia ter levado a colheita de informações dos usuários do LinkedIn, incluindo informações que não era público. A descoberta foi feita por Jack Cable, um caçador de insetos de 18 anos de Chicago.

Mais sobre o bug de preenchimento automático do LinkedIn

Pelo visto, a vulnerabilidade residia no recurso Autopreencher da plataforma que alimenta os botões "Autopreencher com LinkedIn" correspondentes que são implementados em alguns portais de empregos públicos. O botão do LinkedIn pode ser adicionado a formulários de candidatura a empregos, e ao clicar faz uma consulta ao LinkedIn. Uma vez que este é um, as informações do usuário são recuperadas e incorporadas ao formulário de aplicativo de trabalho.

Story relacionado: LinkedIn golpes de phishing - Como detectar e evitar spam e-mails

Mesmo que esses botões sejam úteis, eles podem ser explorados por qualquer site para coletar informações do usuário. Os botões podem ser ocultados e sobrepostos em uma página inteira, e qualquer site poderia incorporá-los secretamente, modificar o tamanho do botão para cobrir a tela. O botão pode se tornar invisível simplesmente alterando algumas configurações CSS.

É assim que um ataque é realizado, Como explicado pelo jovem pesquisador:

1. O usuário visita o site malicioso, que carrega o iframe do botão Autopreencher do LinkedIn.
2. O iframe é estilizado de forma que ocupe toda a página e seja invisível para o usuário.
3. O usuário clica em qualquer lugar da página. LinkedIn interpreta isso como o botão Autopreencher sendo pressionado, e envia as informações via postMessage para o site malicioso.
4. O site coleta as informações do usuário por meio de um código específico.

além disso, qualquer usuário que tenha acessado essa página pode ter enviado informações do LinkedIn para o site, sem saber, clicando aleatoriamente na página.

Story relacionado: Violação LinkedIn Dados: 117 Milhões de contas à venda

A exploração desse bug não é uma tarefa difícil e poderia ter sido aproveitada na natureza para fins de coleta de dados em massa. Felizmente, o bug foi corrigido, com a Cable notificando o LinkedIn sobre o bug. O LinkedIn restringiu temporariamente o botão a uma lista de permissões com outros domínios confiáveis.

Graças a isto, os invasores não conseguiram explorar o recurso por meio do mecanismo descrito acima.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...