Социальная сеть LinkedIn снова оказалась в центре скандала, связанного с возможной утечкой пользовательских данных. Уязвимость в механизме автозаполнения форм AutoFill обнаружил американский исследователь Джек Кейбл (Jack Cable). Функция позволяет подставлять в поля форм на других ресурсах данные из профиля LinkedIn.

Социальная сеть готова была поделиться со сторонними сайтами номером телефона, адресом электронной почты, местом работы и другой персональной информацией своих пользователей. Предполагалось, что функция автозаполнения поможет им избежать двойного ввода данных в резюме, анкетах и других формах. В LinkedIn подчеркивали, что никто не сможет получить доступ к приватной информации без ведома владельца.

Однако, как выяснил Кейбл, слегка подправив код кнопки автозаполнения, ее можно сделать прозрачной и растянуть на весь экран. Любой клик посетителя по странице, содержащей такую ловушку, воспринимался LinkedIn как вызов процедуры AutoFill и инициировал отправку личных данных. Если пользователь был залогинен в социальной сети, то никаких дополнительных уведомлений при этом не открывалось.

Исследователь немедленно сообщил LinkedIn об опасности утечки. В ответ разработчики ограничили возможность работы с автозаполнением для всех сайтов, за исключением своих партнеров, внесенных в список надежных ресурсов.

Такое решение не удовлетворило Кейбла — он продолжил диалог, указывая на недостаточность принятых мер. По мнению эксперта, в вопросе использования персональных данных LinkedIn не может полагаться на чистоплотность других компаний. В качестве доказательства исследователь создал демонстрационную страницу, которая легко получала недоступную, по мнению соцсети, информацию.

Проблема усугублялась тем, что приватные данные передавались даже в том случае, если пользователь LinkedIn ограничил их видимость в своем профиле.

На этот раз соцсеть подошла к делу серьезнее и, взяв паузу на несколько дней, выпустила патч, закрывающий уязвимость. Теперь при отправке информации для автозаполнения обязательно открывается окно с предупреждением. Пользователь должен подтвердить свое согласие на передачу данных стороннему ресурсу.

Социальная сеть LinkedIn не в первый раз испытывает проблемы с безопасностью данных. Самым известным инцидентом стала утечка 117 млн учетных записей ее пользователей. Несмотря на то, что взлом платформы произошел еще в 2012 году, база данных еще долго продавалась на криминальных площадках.

Категории: Уязвимости