Non solo Facebook, una nuova vulnerabilità scoperta nella popolare funzionalità AutoFill di LinkedIn ha rivelato la perdita delle informazioni sensibili degli utenti su siti Web di terzi senza che l’utente ne fosse a conoscenza.
LinkedIn fornisce un plug-in di “Compilazione automatica” che altri siti Web possono utilizzare per consentire agli utenti di LinkedIn di inserire rapidamente con un solo clic i dati del profilo, inclusi nome completo, numero di telefono, indirizzo email, codice di avviamento postale, azienda e titolo di lavoro.
Il pulsante “Compilazione automatica” in generale funziona solo su “siti Internet autorizzati”, Jack Cable giovane ricercatore della sicurezza di Lightning Security ha scoperto che la funzionalità non solo era afflitta da una vulnerabilità di sicurezza semplice ma importante, potenzialmente consentiva a qualsiasi sito Web (scrapers) di raccogliere segretamente i dati del profilo utente e l’utente non si sarebbe nemmeno reso conto dell’evento.
Jack Cable ha spiegato che un sito web legittimo probabilmente posiziona un pulsante di riempimento automatico vicino ai campi che il pulsante può riempire, un utente malintenzionato potrebbe utilizzare segretamente la funzione di riempimento automatico sul suo sito Web modificandone le proprietà per distribuire il pulsante su tutta la pagina Web e quindi renderlo invisibile. Poiché il pulsante “Compilazione automatica” è invisibile, gli utenti che fanno clic in qualsiasi punto del sito Web attivano il riempimento automatico, inviando tutti i dati pubblici e privati richiesti al sito Web dannoso. Ecco come gli hacker possono sfruttare il difetto di LinkedIn:
– l’utente visita il sito Web dannoso, che carica l’iframe del pulsante di “Compilazione automatica” di LinkedIn;
– l’iframe è stilizzato in modo da occupare l’intera pagina ed è invisibile all’utente;
– l’utente quindi fa clic in qualsiasi punto della pagina, LinkedIn interpreta questo come il pulsante “Compilazione automatica” premuto e invia i dati degli utenti tramite postMessage al sito dannoso.
Jack Cable ha scoperto la vulnerabilità il 9 aprile 2018, l’ha immediatamente divulgata a LinkedIn. L’azienda ha emesso una soluzione temporanea il giorno successivo senza informare il pubblico del problema.
La correzione limitava l’utilizzo della funzione di “Compilazione automatica” di LinkedIn solo ai siti Web autorizzati che pagavano LinkedIn per ospitare i propri annunci. Jack Cable ha sostenuto che la patch era incompleta, lasciava la funzionalità ancora aperta agli utenti perché i siti autorizzati potevano ancora raccogliere i dati dell’utente. Inoltre, se uno qualsiasi dei siti autorizzati da LinkedIn è compromesso, la funzione di “Compilazione automatica” potrebbe essere sfruttata per inviare i dati raccolti a terze parti malintenzionate.
Jack Cable per dimostrare il problema ha anche creato una pagina di test proof-of-concept, mostra come un sito web può catturare il tuo nome e cognome, indirizzo email, datore di lavoro e posizione.
Poiché una soluzione completa per la vulnerabilità è stata implementata da LinkedIn il 19 aprile 2018, la pagina demo di cui sopra al momento potrebbe non funzionare.
LinkedIn in una nota ha detto:
«Abbiamo immediatamente impedito l’uso non autorizzato di questa funzione, una volta che siamo stati informati del problema. Ora stiamo accelerando un’altra soluzione che risolverà i potenziali casi di abuso aggiuntivi, a breve sarà a posto, anche se non abbiamo riscontrato segni di abuso, lavoriamo costantemente per garantire la protezione dei dati dei nostri membri. Apprezziamo la responsabilità del ricercatore Jack Cable che ne ha fatto rapporto, il nostro team di sicurezza continuerà a rimanere in contatto con lui».
La vulnerabilità sebbene non sia per niente sofisticata o critica, dato il recente scandalo di Cambridge Analytica in cui sono stati esposti dati di oltre 87 milioni di utenti di Facebook, tali lacune di sicurezza possono costituire una seria minaccia non solo per i clienti ma anche per l’azienda stessa.
