Protección de Datos: Una vulnerabilidad de LinkedIn permitía el robo de datos

Fuente: itdigitalsecurity.es
Autor: IT DIGITAL SECURITY
Fecha: 23 de abril de 2018
Link de consulta: http://www.itdigitalsecurity.es/vulnerabilidades/2018/04/una-vulnerabilidad-de-linkedin-permitia-el-robo-de-datos

El investigador Jack Cable de Lightning Security descubrió que la funcionalidad ‘Autocompletar’ de la red social estaba plagada de fallos que permitirían a cualquier sitio web obtener los datos del perfil del usuario sin que éste se diera cuenta. LinkedIn ya ha lanzado el parche completo.

Entre sus prestaciones, LinkedIn ofrece una funcionalidad llamada ‘Autocompletar’ que facilita que otros sitios web puedan permitir que los usuarios de LinkedIn puedan completar rápidamente sus datos del perfil, incluyendo información sensible como nombre completo, número de teléfono. dirección de correo electrónico, código postal, empresa, etc. en un solo clic. Pues bien, Jack Cable, investigador de seguridad de Lightning Security, descubrió que esta funcionalidad contenía múltiples vulnerabilidades que permitiría a cualquier sitio web obtener los datos del perfil del usuario sin que el usuario se diera cuenta.

Un atacante puede hacer que la funcionalidad autocompletar se active en su sitio web, cambiando algunas propiedades, como la de extender esta funcionalidad a través de todo el sitio web para posteriormente hacerlo invisible. El iframe del autocompletar de LinkedIn ocuparía toda la página web y sería invisible al usuario, y cuando este visite el sitio web malicioso y haga click en cualquier parte de la web desencadenaría la ejecución de esta función y los datos serían enviados al sitio web malicioso.

Esta vulnerabilidad fue reportada e inmediatamente la compañía emitió una solución temporal a este posible ataque, restringiendo el uso de la función autocompletar a los sitios incluidos en la lista blanca. El mismo investigador subrayó que el parche aún permitía usar esta característica por los dominios incluidos en la lista blanca. Por lo tanto, si cualquiera de estos sitios se hubiera visto comprometido, podría hacerse uso de este ataque.

Afortunadamente, LinkedIn ya ha lanzado el parche completo y ha asegurado en un comunicado que «hemos impedido el uso no autorizado de esta función, una vez que nos enteramos del problema. Ahora estamos impulsando otra solución que abordará posibles casos de abuso adicionales, y se implementará en breve”.

«Si bien no hemos visto signos de abuso, trabajamos constantemente para garantizar que los datos de nuestros miembros permanezcan protegidos. Agradecemos al investigador responsable por informar esto y nuestro equipo de seguridad continuará en contacto con ellos», concluye.