SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

У LinkedIn снова проблемы с безопасностью данных

23 апреля 2018 г., понедельник, 16:47

Социальная сеть делилась контактами пользователей с любым сайтом, установившим ее плагин.

Социальная сеть LinkedIn снова оказалась в центре скандала, связанного с возможной утечкой пользовательских данных. Уязвимость в механизме автозаполнения форм AutoFill обнаружил американский исследователь Джек Кейбл (Jack Cable). Функция позволяет подставлять в поля форм на других ресурсах данные из профиля LinkedIn.

Социальная сеть готова была поделиться со сторонними сайтами номером телефона, адресом электронной почты, местом работы и другой персональной информацией своих пользователей. Предполагалось, что функция автозаполнения поможет им избежать двойного ввода данных в резюме, анкетах и других формах. В LinkedIn подчеркивали, что никто не сможет получить доступ к приватной информации без ведома владельца.

Однако, как выяснил Кейбл, слегка подправив код кнопки автозаполнения, ее можно сделать прозрачной и растянуть на весь экран. Любой клик посетителя по странице, содержащей такую ловушку, воспринимался LinkedIn как вызов процедуры AutoFill и инициировал отправку личных данных. Если пользователь был залогинен в социальной сети, то никаких дополнительных уведомлений при этом не открывалось.

Исследователь немедленно сообщил LinkedIn об опасности утечки. В ответ разработчики ограничили возможность работы с автозаполнением для всех сайтов, за исключением своих партнеров, внесенных в список надежных ресурсов.

Такое решение не удовлетворило Кейбла — он продолжил диалог, указывая на недостаточность принятых мер. По мнению эксперта, в вопросе использования персональных данных LinkedIn не может полагаться на чистоплотность других компаний. В качестве доказательства исследователь создал демонстрационную страницу, которая легко получала недоступную, по мнению соцсети, информацию.

Проблема усугублялась тем, что приватные данные передавались даже в том случае, если пользователь LinkedIn ограничил их видимость в своем профиле.

На этот раз соцсеть подошла к делу серьезнее и, взяв паузу на несколько дней, выпустила патч, закрывающий уязвимость. Теперь при отправке информации для автозаполнения обязательно открывается окно с предупреждением. Пользователь должен подтвердить свое согласие на передачу данных стороннему ресурсу.

Социальная сеть LinkedIn не в первый раз испытывает проблемы с безопасностью данных. Самым известным инцидентом стала утечка 117 млн учетных записей ее пользователей. Несмотря на то, что взлом платформы произошел еще в 2012 году, база данных еще долго продавалась на криминальных площадках.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.117
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.