Уязвимость в LinkedIn позволяла тайно собирать данные пользователей
Исследователь безопасности Джек Кейбл (Jack Cable) обнаружил опасную уязвимость в социальной сети LinkedIn. Проблема могла быть проэксплуатирована для тайного сбора информации о пользователях.
Уязвимость связана с функцией LinkedIn AutoFill, активирующей кнопку «Автозаполнение с помощью LinkedIn». При нажатии она делает запрос на сайт LinkedIn, извлекает данные пользователя и вставляет их в форму заявки. Данная функция используется в основном на порталах по поиску работы.
Как выяснил исследователь, любой сайт может злоупотреблять данной функцией для скрытого сбора данных пользователя. Кнопку можно тайно установить на странице, изменив ее размер и сделав ее прозрачной путем изменения ряда настроек CSS. Таким образом пользователь может неосознанно предоставить свои данные, всего один раз нажав на любую страницу.
Кейбл уведомил команду безопасности LinkedIn о проблеме 9 апреля, после чего социальная сеть временно ограничила использование кнопки, а затем выпустила полноценное исправление.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
