EN
نقض امنیتی و نشت اطلاعات

افزونه تکمیل خودکار لینکدین و سرقت اطلاعات کاربران

یک محقق امنیتی آسیب‌‌پذیری جدید را در لینکدین کشف کرده است که موجب نشت اطلاعات حساس کاربران در سایر وب‌سایت‌ها می‌شود. این آسیب‌پذیری که در قابلیت محبوب تکمیل خودکار اطلاعات لینکدین کشف شده، باعث خطر نشت داده‌های خصوصی میلیون‌ها کاربر می‌شود.
  1. سرتفا»
  2. آخرین خبرها»
  3. آسیب‌پذیری‌ها
۰۷ اردیبهشت ۱۳۹۷
نشت اطلاعات از لینکدینCW Enterprises

شبکه اجتماعی حرفه‌ای لینکدین مدت‌هاست که افزونه‌ای برای تکمیل خودکار اطلاعات کاربران در دیگر وب‌سایت‌ها ارائه می‌دهد که از آن برای تکمیل خودکار و سریع تک‌تک اطلاعات کاربری مانند نام، شماره تلفن، ایمیل، کد پستی، نام شرکت، عنوان شغلی و... تنها با یک کلید می‌توان استفاده کرد.
به‌صورت کلی قابلیت تکمیل خودکار اطلاعات «AutoFill» لینکدین تنها به‌طور خاص در وب‌سایت‌های از قبل تعریف شده «whitelisted websites» می‌بایست کار کند که یک محقق امنیتی به نام جک کیبل، خلاف این موضوع را ثابت کرده است.

طبق بررسی‌های جک کیبل، این قابلیت در لینکدین با یک آسیب‌پذیری امنیتی ساده اما مهم و حساس همراه بوده که به‌طور بالقوه به دیگر وب‌سایت‌ها این اجازه را می‌دهد که مخفیانه اطلاعات حساب کاربری لینکدین کاربران را بدون هیچ علایم و رویداد مشخصی در ظاهر عملکرد وب‌سایت‌ مهاجم به سرقت برند.

به‌طور معمول، یک وب‌سایت معتبر ممکن است کلید تکمیل خودکار اطلاعات لینکدین را در قسمت‌های مختلف فرم‌های ثبت نامی خود قرار دهد که کاربر از آن برای تکمیل خودکار فرآیند ثبت اطلاعات استفاده کند. اما به گفته کیبل، هکرها نیز می‌تواند در سایت‌های خرابکارانه خود به‌صورت مخفیانه از ویژگی تکمیل خودکار لینکدین استفاده کنند و با تغییر ویژگی‌های ظاهری آن را مخفی و نامرئی کنند.

از آنجایی که امکان مخفی کردن کلید تکمیل خودکار لینکدین توسط هکرها وجود دارد، کاربر قربانی با کلیک در هر نقطه از وب‌سایت مهاجم، ممکن است آن را فعال کرده و در نهایت همه اطلاعات کاربری خود، از جمله اطلاعات عمومی و اطلاعات خصوصی را به هکرها ارسال کند.

 

سناریو هک

چگونگی بهره‌براداری هکرها از نقص قابلیت تکمیل خودکار لینکدین به‌طور خلاصه به این شکل است:

- کاربر از یک وب‌سایت آلوده که در آن از ویژگی iframe برای خواندن تکمیل خودکار لینکدین استفاده شده است، بازدید می‌کند.
- ویژگی iframe در سایت آلوده به گونه‌ای طراحی شده که کل صفحه را در بر می‌گیرد و برای کاربر نامرئی است.
- سپس کاربر در هر نقطه از آن سایت که کلیک می‌کند، لینکدین این موضوع را به عنوان درخواست تکمیل خودکار اطلاعات حساب کرده و داده‌های کاربر را به‌ سایت آلوده ارسال می‌کند.

 

عمل‌کرد ضعیف لینکدین این در رفع مشکل

کیبل این آسیب‌پذیری را پس از کشف در تاریخ ۹ آوریل بلافاصله گزارش کرده و لینکدین یک روز بعد اصلاحیه موقتی را بدون اطلاع‌رسانی عمومی به کاربران خود در مورد این آن انجام داده است. اما اصلاحیه لینکدین به وب‌سایت‌های از قبل تعریف شده «whitelisted sites» محدود بوده و به‌لحاظ فنی کماکان امکان نقض داده و سرقت اطلاعات کاربران را داراست.

به گفته کیبل وب‌سایت‌های از قبل تعریف شده معتبر، در حال حاضر می‌توانند بدون اطلاع کاربران اقدام به جمع‌آوری داده‌های حساس آن‌ها کنند. علاوه براین، اگر یکی از وب‌سایت‌های تعریف شده معتبر توسط لینکدین به خطر بیافتد و هکرها از آن سوءاستفاده کنند، خواهند توانست به راحتی اطلاعات کاربران را جمع‌آوری کنند.

پس از انتشار این خبر در رسانه‌ها، شرکت لینکدین در بیانیه‌ای اعلام کرد که دسترسی‌های غیرمجاز را بلافاصله متوقف کرده و در حال حاضر روی اصلاح سایر آسیب‌پذیری‌ها کار می‌کند. لینکدین گفته است: در حالی که هیچ نشانه‌ای از سواستفاده تا به امروز ندیده‌ایم، اما ما به‌طور مداوم در تلاشیم تا اطمینان حاصل کنیم که داده‌های اعضای لینکدین محافظت شده است. ما از احساس مسئولیت محقق این گزارش قدردانی می‌کنیم و تیم امنیتی ما همچنان با او در ارتباط خواهد بود.

 

در پایان باید یادآور شد که اگر چه این آسیب‌پذیری یک مورد پیچیده یا بحرانی نیست، اما با توجه به رسوایی اخیر کمبریج آنالیتیکا که در آن داده‌ها از بیش از ۸۷ میلیون کاربر فیسبوک افشا شد، چنین نقاط ضعف امنیتی می‌تواند نه تنها به مشتریان، بلکه همچنین شرکت‌ها را نیز با تهدیدهای جدی مواجه کند.

 

 

توضیحات بیشتر در:

- LinkedIn AutoFill Exposed Visitor Name, Email to Third-Party Websites

 

 

آسیب‌پذیری|شبکه‌های اجتماعی|لینکدین|نقض اطلاعات

به اشتراک بگذارید

بازگشت به بالا

افزونه‌های جعلی در فروشگاه کروم
ارائه خدمات باج‌افزاری