Una nueva vulnerabilidad descubierta en la popular funcionalidad de Autocompletar de Linedin, permite filtrar información sensible de los usuarios, a terceras partes sin que el usuario final sepa algo sobre eso.
El pluggin de autocompletar, es utilizado por los usuarios de LinkedIn para poder completar formularios de manera rapida, incluyendo nombre completo, telefonos, direcciones de correo, código postal, compañía donde trabaja y cargo con un simple clic.
En estricto rigor, el boton de autocompletar funciona en una lista de direcciones web autorizadas, pero un investigador de Seguridad de 18 años, llamado Jack Cable, indicó que esta función puede llegar a funcionar en sitios no autorizados previamente.
LinkedIn ya tomó acciones al respecto e indicó lo siguiente:
Inmediatamente, impidimos el uso no autorizado de esta función, una vez que nos enteramos del problema. Ahora estamos impulsando otra solución que abordará posibles casos de abuso adicionales y estará vigente en breve. Si bien no hemos visto signos de abuso, trabajamos constantemente para garantizar que los datos de nuestros miembros permanezcan protegidos. Agradecemos al investigador que informe responsablemente sobre esto y nuestro equipo de seguridad continuará en contacto con ellos.
Para mayor claridad, LinkedIn AutoFill no está disponible en general y solo funciona en dominios incluidos en la lista blanca para anunciantes aprobados. Permite a los visitantes de un sitio web elegir rellenar previamente un formulario con información de su perfil de LinkedIn.
Un sitio web legítimo probablemente colocaría un botón Autocompletar cerca de los campos que el botón puede llenar, pero según Cable, un atacante podría usar secretamente la función Autocompletar en su sitio web cambiando sus propiedades para extender el botón en toda la página web y luego hacerlo invisible.
Dado que el botón Autocompletar es invisible, los usuarios que hagan clic en cualquier parte del sitio web desencadenarán Autocompletar, y finalmente enviarán todos sus datos públicos y privados solicitados al sitio web malicioso, explica Cable.
Cable publico un link en el cual se realiza una prueba de concepto, para mostrar como se explota esta falla de LInkedin
https://lightningsecurity.io/LinkedInDemo.html
