Kilka lat temu LinkedIn, portal społecznościowy specjalizujący się w kontaktach zawodowych, zakupiony został przez Microsoft. Firma ma teraz nie lada problem z danymi osobowymi użytkowników, które przez poważną lukę we wtyczce AutoFill wyciekały przez kilka ostatnich miesięcy. Poszkodowanych może być nawet około milion osób.
LinkedIn do kontaktu zawodowego wykorzystuje około 150 milionów użytkowników na całym świecie. Portal dostępny jest obecnie w kilkunastu językach, a od początku 2012 roku dostępna jest również polska wersja tej platformy. Informacja o kolejnym już w historii działania LinkedIn wycieku danych (w 2012 roku wykradziono aż 6,5 miliona haseł użytkowników) wywołała niemałe oburzenie.
Wszystko przez wtyczkę AutoFill
AutoFill to funkcjonalność LinkedIn pozwalająca na „zasysanie” podstawowych danych z profili użytkowników, takich jak imię, nazwisko, miejsce zamieszkania oraz miejsca zatrudnienia. Okazało się, że zabezpieczenia wtyczki nie są na tyle dopracowane, aby ustrzec się przed atakiem Cross-site scripting. Cyberprzestępcy wykorzystali exploit w kodzie LinkedIn, który ukrywał przycisk aktywujący opcję AutoFill w sposób, który umożliwiał pobranie wszystkich danych z naszego profilu na dowolną stronę. Szacuje się, że wyciec mogły dane nawet miliona użytkowników.
„LinkedIn twierdzi, że ta funkcjonalność jest ograniczona do stron umieszczonych na białej liście, jednak do mojego raportu każda witryna może ją wykorzystywać” – mówi Jack Cable, który jako pierwszy zgłosił exploit
LinkedIn natychmiast wydał oświadczenie
Gdy media zainteresowały się raportem opublikowanym przez Jacka Cable’a, LinkedIn natychmiastowo wystosował swoje stanowisko. Napisano w nim, że błąd został już naprawiony, a maksymalnie w ciągu miesiąca wydana zostanie duża aktualizacja, która jeszcze bardziej zabezpieczy użytkowników przed tego typu sytuacjami. Ponadto LinkedIn twierdzi, że nigdy nie stwierdzono wycieku danych z portalu przy wykorzystaniu tego exploitu. Nie oznacza to jednak, że cyberprzestępcy z niego nie korzystali w ciągu ostatnich kilku miesięcy. Warto pamiętać o ostrożności podczas publikowania informacji o sobie w internecie. Niestety w tym przypadku nawet najbardziej wyczulone na bezpieczeństwo w sieci osoby mogły zostać poszkodowane.
Źródło: TechTimes
