在数据隐私方面,Facebook并不是唯一的热门话题。缺陷 领英的 网站用来让您快速完成表单的AutoFill插件可能使黑客窃取了您的全名,电话号码,电子邮件地址,位置(邮政编码),公司和职务。恶意网站已经能够在整个页面上以不可见的方式呈现插件,因此,如果登录到LinkedIn的用户单击任意位置,则他们实际上将点击隐藏的“使用LinkedIn自动填充”按钮并放弃其数据。

研究员 杰克电缆 在2018年4月9日发现了此问题,并立即向LinkedIn披露了该问题。该公司于4月10日发布了修复程序,但未将问题通知公众。 Cable很快通知LinkedIn,它的修复程序限制了其使用。 自动填充功能 列入白名单的网站,这些网站向领英支付了托管广告的费用,但仍然容易受到滥用。如果其中任何一个站点都具有跨站点脚本漏洞(Cable证实了这一点),黑客仍然可以通过将iframe安装到易受攻击的白名单站点上来在其站点上运行自动填充。在过去9天内,他没有收到LinkedIn的任何回复,因此Cable与TechCrunch取得了联系。

LinkedIn的自动填充工具

LinkedIn告诉TechCrunch,没有证据表明该漏洞被利用来收集用户数据。但是Cable表示:“一家公司完全有可能在LinkedIn不知情的情况下滥用此信息,因为它不会向LinkedIn服务器发送任何危险信号。”

我在电缆设置站点上演示了安全失败。只需单击一下页面上的任意位置,即可向我显示我的LinkedIn注册电子邮件地址,而我却不知道自己正在与使用的LinkedIn插件版本进行交互

Cable写道:“ LinkedIn似乎接受了将网站列入白名单的风险(这是其商业模式的一部分),但这是一个主要的安全隐患。”

LinkedIn发言人向TechCrunch发表了此声明:

“一旦得知此问题,我们立即防止未经授权使用此功能。我们现在正在推动另一项修复程序,该程序将解决潜在的其他滥用情况,并将在短期内到位。虽然我们没有发现任何滥用的迹象,但我们仍在不断努力,以确保成员数据受到保护。我们感谢研究人员负责任地报告此事,我们的安全团队将继续与他们保持联系。

为了清楚起见,LinkedIn AutoFill并未广泛使用,仅适用于已批准广告客户的白名单域。它允许网站访问者选择使用其LinkedIn个人资料中的信息来预先填充表格。”

脸书最近对数据隐私和安全性进行了严格的审查,就在昨天,Facebook确认正在调查一个未经授权的JavaScript跟踪器从使用以下内容的网站中提取用户信息的问题: Login With Facebook.

但是Cable的发现表明,其他科技巨头也应受到更多的审查。为了通过按钮来殖民网络并收集有关其用户的更多数据,像LinkedIn这样的网站玩弄的都是人们的个人可识别信息。

研究表明,依靠第三方网站白名单并不总是能够解决问题。这些站点之一需要做的就是拥有自己的安全漏洞,并且可以掠夺更大的漏洞。 OpenBugBounty显示了跨站点脚本问题的普遍性。这些“ XSS”漏洞占安全漏洞的84% 由Symantec在2007年记录和漏洞赏金服务HackerOne将XSS定义为 一个大问题 to this day.

在全神贯注于安全性的情况下,科技公司可能需要对研究人员指出缺陷的反应更快。尽管LinkedIn最初迅速采取了行动,但由于只有一个已解决的问题才引起人们对这个问题的关注。同时,考虑监管的政府官员应重点加强对发现违规或漏洞的公司的披露要求。如果他们知道必须通知公众有关其安全漏洞的信息,那么他们可能会更加努力地保持一切安全。

脸书评论