LinkedIn-data kwetsbaar door AutoFill-plug-in
De AutoFill-plug-in van LinkedIn vult op goedgekeurde websites van derden automatisch basisinformatie uit je LinkedIn-profiel, zoals je naam, e-mailadres, locatie en huidig werk, in om je eenvoudiger aan te melden op een website of om je in te schrijven op nieuwsbrieven.
LinkedIn laat alleen goedgekeurde websites gebruikmaken van de plug-in, maar als een cybercrimineel kwaadaardige code op een goedgekeurde website uitvoert, kan deze hacker persoonlijke informatie van jou stelen. De bug bevindt zich in cross-site scripting.
Oplossing
In een officiële verklaring op Lightning Security reageerde LinkedIn op de beveiligingsfout in de AutoFill-plug-in. “We hebben onmiddellijk gebruik van deze functie door onbevoegden voorkomen zodra we op de hoogte werden gesteld van het probleem”, stelt LinkedIn. “We waarderen het dat de onderzoeker dit op een verantwoorde manier rapporteert en ons veiligheidsteam blijft contact houden met hen.”
“We proberen nu een nieuwe oplossing te vinden voor mogelijke gevallen van misbruik en deze zullen binnenkort van kracht zijn.” LinkedIn werkt aan een oplossing voor de bug. “Hoewel we geen tekenen van misbruik hebben gezien, werken we voortdurend om de gegevens van onze leden te beschermen.”