Una nueva
vulnerabilidad descubierta en la popular funcionalidad de Autocompletar de
LinkedIn, puede filtración la
información confidencial de sus usuarios a sitios web de terceros sin que el
usuario siquiera lo supiera.
LinkedIn proporciona un complemento de Autocompletar durante mucho tiempo que otros sitios web pueden usar para permitir que los usuarios de LinkedIn completen rápidamente los datos de perfil, incluidos su nombre completo, número de teléfono, dirección de correo electrónico, código postal, empresa y título de trabajo, con un solo clic.
En general, el botón de Autocompletar solo funciona específicamente en "sitios web incluidos en la lista blanca", pero el investigador de seguridad, Jack Cable de Lightning Security dijo que no era el único.
Se descubrió que la función estaba plagada de una vulnerabilidad de
seguridad simple, pero importante ya que potencialmente permitía que cualquier
sitio web, cosechara secretamente los datos del perfil del usuario y el usuario
ni siquiera se daría cuenta del evento.
Un sitio web legítimo probablemente colocaría un botón Autocompletar cerca de los campos que el botón puede llenar, pero según Cable, un atacante podría usar secretamente la función Autocompletar en su sitio web cambiando sus propiedades para extender el botón a través de toda la página web y luego hacerlo invisible.
Un sitio web legítimo probablemente colocaría un botón Autocompletar cerca de los campos que el botón puede llenar, pero según Cable, un atacante podría usar secretamente la función Autocompletar en su sitio web cambiando sus propiedades para extender el botón a través de toda la página web y luego hacerlo invisible.
La corrección solo restringió el uso de la función de Autocompletar de
LinkedIn a los sitios web de la lista blanca que pagan a LinkedIn para alojar
sus anuncios, pero Cable argumentó que el parche estaba incompleto y aún dejaba
la característica abierta para el abuso ya que los sitios incluidos en la lista
aún podían recopilar datos de los usuarios.
LinkedIn
"Inmediatamente
previnimos el uso no autorizado de esta característica, una vez que nos
enteramos del problema. Ahora estamos impulsando otra solución que abordará
posibles casos de abuso adicionales, y estará en su lugar en breve", expreso
la compañía en un comunicado.
"Si
bien no hemos visto signos de abuso, trabajamos constantemente para garantizar
que los datos de nuestros miembros permanezcan protegidos. Agradecemos al
investigador responsable por informar esto y nuestro equipo de seguridad
continuará en contacto con ellos".
Fuente: The Hacker News