Af Torben B. Sørensen, 20/04/18
LinkedIn har lukket et sikkerhedshul, der gav adgang til personoplysninger.
En sikkerhedsforsker har opdaget en sårbarhed knappen AutoFill, som LinkedIn tilbyder til websteder.
Et websted kan integrere knappen på sine sider. Når en bruger klikker på knappen, udfyldes en række felter automatisk med oplysninger fra brugerens LinkedIn-profil.
Sikerhedsforsker Jack Cable opdagede, at knappen kunne placeres på ethvert websted. Den kunne gøres usynlig og udvides, så den fyldte hele skærmen. Hvis brugeren klikkede et sted på siden, ville oplysningerne automatisk blive udfyldt.
LinkedIn lukkede hullet i går. Firmaet arbejder på yderligere at beskytte funktionen mod misbrug.
Der kendes ikke til tilfælde af misbrug af knappen.
Links
- LinkedIn AutoFill Exposed Visitor Name, Email to Third-Party Websites, blogindlæg af Jack Cable
- LinkedIn’s AutoFill plugin could leak user data, secret fix failed, artikel fra TechCrunch
- LinkedIn Vulnerability Allowed User Data Harvesting, artikel fra SecurityWeek
- LinkedIn Fixes AutoFill Button That Allowed Rogue Harvesting of User Data, artikel fra Bleeping Computer