Nubo

Falha no plugin AutoFill do LinkedIn permite que sites de terceiros roubem seus dados

Não apenas o Facebook, uma nova vulnerabilidade descoberta na popular funcionalidade AutoFill do Linkedin encontrou vazamento de informações confidenciais de seus usuários para sites de terceiros sem que o usuário sequer soubesse disso.

O LinkedIn fornece um plug-in de Autopreencher por muito tempo que outros sites podem usar para permitir que os usuários do LinkedIn preencham rapidamente dados de perfil, incluindo nome completo, número de telefone, endereço de email, CEP, empresa e cargo, com um único clique.

Em geral, o botão Autopreencher funciona apenas em sites “listados na lista de permissões”, mas o pesquisador de segurança Jack Cable, da Lightning Security, de 18 anos, disse que esse não é o caso.

A Cable descobriu que o recurso era afetado por uma vulnerabilidade de segurança simples, porém importante, que potencialmente permitia a qualquer site (scrapers) coletar secretamente os dados do perfil do usuário e o usuário nem sequer perceberia o evento.

Um site legítimo provavelmente colocaria um botão de preenchimento automático próximo aos campos que o botão pode preencher, mas de acordo com a Cable, um invasor poderia usar secretamente o recurso de Autopreencher em seu site alterando suas propriedades para espalhar o botão em toda a página da Web e invisível.

Como o botão Autopreencher é invisível, os usuários que clicam em qualquer lugar do site acionam o Autopreencher, eventualmente enviando todos os dados públicos e privados solicitados ao site malicioso, explica Cable.

Veja como os invasores podem explorar a falha do LinkedIn:

O usuário visita o site mal-intencionado, que carrega o iframe do botão Autopreencher do LinkedIn.
O iframe é estilizado de forma a ocupar toda a página e é invisível para o usuário.
Em seguida, o usuário clica em qualquer lugar dessa página e o LinkedIn interpreta isso quando o botão Autopreencher é pressionado e envia os dados dos usuários por meio do postMessage para o site mal-intencionado.

A Cable descobriu a vulnerabilidade em 9 de abril e imediatamente a divulgou para o LinkedIn. A empresa emitiu uma correção temporária no dia seguinte sem informar o público sobre o assunto.

A correção apenas restringiu o uso do recurso Autopreencher do LinkedIn a sites que só pagavam ao LinkedIn para hospedar seus anúncios, mas a Cable argumentou que o patch estava incompleto e ainda deixava o recurso aberto a abusos, já que os sites podiam coletar dados do usuário.

Além disso, se qualquer um dos sites permitidos pelo LinkedIn for comprometido, o recurso de Autopreencher poderá ser usado para enviar os dados coletados para terceiros mal-intencionados.

Para demonstrar o problema, a Cable também criou uma página de teste de prova de conceito, que mostra como um site pode pegar seu nome e sobrenome, endereço de e-mail, empregador e local.

Como uma correção completa para a vulnerabilidade foi lançada pelo LinkedIn em 19 de abril, a página de demonstração acima pode não funcionar para você agora.

“Imediatamente impedimos o uso não autorizado desse recurso, uma vez que ficamos cientes do problema. Estamos agora promovendo outra correção que abordará possíveis casos adicionais de abuso, e será implementada em breve”, disse a empresa em um comunicado.

“Embora não tenhamos visto sinais de abuso, estamos constantemente trabalhando para garantir que os dados de nossos membros permaneçam protegidos. Agradecemos ao pesquisador responsável por informar isso e nossa equipe de segurança continuará a manter contato com eles.”
Embora a vulnerabilidade não seja de forma alguma sofisticada ou crítica, dado o recente escândalo Cambridge Analytica, no qual dados de mais de 87 milhões de usuários do Facebook foram expostos, essas falhas de segurança podem representar uma séria ameaça não apenas para os clientes, mas também para a própria empresa.