Vulnerabilidad descubierta en la funcionalidad autocompletar de Linkedin permite el robo de datos.
Una nueva vulnerabilidad descubierta en la popular funcionalidad de ‘Autocompletar’ o ‘Auto fill’ que puede permitir el robo de datos por parte de terceros.
Esta funcionalidad proporciona que otros sitios web puedan permitir que los usuarios de LinkedIn puedan completar rápidamente los datos del perfil, incluyendo información sensible como nombre completo, número de teléfono. dirección de correo electrónico, código postal, empresa…etc en un solo clic.
Recientemente el investigador de seguridad Jack Cable de ‘Lightning Security’ descubrió que podía no ser así.
Descubrió que esta funcionalidad estaba plagadas de vulnerabilidades que permitiría a cualquier sitio web obtener los datos del perfil del usuario sin que el usuario se diera cuenta.
Un atacante puede hacer que la funcionalidad autocompletar en su sitio web cambiando algunas propiedades como la de extender esta funcionalidad a través de todo el sitio web para posteriormente hacerlo invisible, en el momento en el que el usuario haga click en cualquier parte de la web desencadenaría la ejecución de esta función y el envío de los datos albergados en la funcionalidad. Por pasos sería de la siguiente manera:
- El usuario visita el sitio web malicioso, que carga el ‘iframe’ del autocompletar de LinkedIn.
- El ‘iframe’ ocupa toda la página web y es invisible al usuario.
- El usuario hace clic en cualquier parte de la web.
- Los datos son enviados un sitio web malicioso.
“We immediately prevented unauthorized use of this feature, once we were made aware of the issue. We are now pushing another fix that will address potential additional abuse cases, and it will be in place shortly,” the company said in a statement.
“While we’ve seen no signs of abuse, we’re constantly working to ensure our members’ data stays protected. We appreciate the researcher responsible reporting this, and our security team will continue to stay in touch with them.”
