Autor: Phil Muncaster
@philmuncaster
LinkedIn ha parchado silenciosamente una vulnerabilidad que podría
haber permitido a terceros malintencionados robar datos personales de
los miembros.
La falla gira en torno al botón Autorrelleno de la plataforma de redes empresariales, que permite a los sitios de terceros completar automáticamente la información, incluidos el nombre, la dirección de correo electrónico, el número de teléfono, la ubicación y el trabajo de los usuarios.
Ha sido parte de la oferta LinkedIn Marketing Solutions durante varios años. Sin embargo, según el investigador de seguridad, Jack Cable, los hackers podrían abusar de la función.
Descubrió a principios de este mes que cualquier sitio podría usar la función, diseñando el iframe para que ocupe toda la página y sea invisible para el usuario.
Esto significa que si un visitante hace clic en cualquier parte de ese sitio, LinkedIn lo interpreta como un botón Autocompletar que se está presionando y envía los datos relevantes del usuario al webmaster malicioso.
LinkedIn corrigió la función un día después de haber sido informada, restringiéndola a sitios incluidos en la lista blanca que pagaban anuncios de host. Sin embargo, esto aún deja a los usuarios potencialmente expuestos. Esto se debe a que cualquiera de esos sitios incluidos en la lista blanca que tienen vulnerabilidades de secuencias de comandos entre sitios habría permitido a los piratas informáticos ejecutar el mismo iframe creado con fines malintencionados para recolectar los detalles del usuario.
La empresa propiedad de Microsoft luego emitió otro parche y una declaración, de la siguiente manera:
"Inmediatamente, impidimos el uso no autorizado de esta función, una vez que nos enteramos del problema. Ahora estamos impulsando otra solución que abordará posibles casos de abuso adicionales y estará vigente en breve. Si bien no hemos visto signos de abuso, trabajamos constantemente para garantizar que los datos de nuestros miembros permanezcan protegidos. Apreciamos que el investigador informe responsablemente sobre esto y nuestro equipo de seguridad continuará en contacto con ellos ".
El incidente ocurre en un momento sensible para las firmas en línea que recopilan y comparten datos sobre usuarios con terceros, luego del escándalo de Cambridge Analytica que desenterró graves deficiencias en los términos de los acuerdos de servicio de Facebook con los desarrolladores de aplicaciones.
La falla gira en torno al botón Autorrelleno de la plataforma de redes empresariales, que permite a los sitios de terceros completar automáticamente la información, incluidos el nombre, la dirección de correo electrónico, el número de teléfono, la ubicación y el trabajo de los usuarios.
Ha sido parte de la oferta LinkedIn Marketing Solutions durante varios años. Sin embargo, según el investigador de seguridad, Jack Cable, los hackers podrían abusar de la función.
Descubrió a principios de este mes que cualquier sitio podría usar la función, diseñando el iframe para que ocupe toda la página y sea invisible para el usuario.
Esto significa que si un visitante hace clic en cualquier parte de ese sitio, LinkedIn lo interpreta como un botón Autocompletar que se está presionando y envía los datos relevantes del usuario al webmaster malicioso.
LinkedIn corrigió la función un día después de haber sido informada, restringiéndola a sitios incluidos en la lista blanca que pagaban anuncios de host. Sin embargo, esto aún deja a los usuarios potencialmente expuestos. Esto se debe a que cualquiera de esos sitios incluidos en la lista blanca que tienen vulnerabilidades de secuencias de comandos entre sitios habría permitido a los piratas informáticos ejecutar el mismo iframe creado con fines malintencionados para recolectar los detalles del usuario.
La empresa propiedad de Microsoft luego emitió otro parche y una declaración, de la siguiente manera:
"Inmediatamente, impidimos el uso no autorizado de esta función, una vez que nos enteramos del problema. Ahora estamos impulsando otra solución que abordará posibles casos de abuso adicionales y estará vigente en breve. Si bien no hemos visto signos de abuso, trabajamos constantemente para garantizar que los datos de nuestros miembros permanezcan protegidos. Apreciamos que el investigador informe responsablemente sobre esto y nuestro equipo de seguridad continuará en contacto con ellos ".
El incidente ocurre en un momento sensible para las firmas en línea que recopilan y comparten datos sobre usuarios con terceros, luego del escándalo de Cambridge Analytica que desenterró graves deficiencias en los términos de los acuerdos de servicio de Facebook con los desarrolladores de aplicaciones.
0 Comentarios