لینکدین اخیرا آسیب پذیری را وصله کرده است که نفوذگران با بهره برداری از آن می توانند از طریق وب سایت هایی، اطلاعات پروفایل کاربران، حتی اطلاعات شخصی آن ها را بدست آورند.
این آسیب پذیری قابلیت AutoFill را تحت تاثیر قرار داده بود. این ویژگی به کاربران اجازه می دهد با اطلاعاتی که در پروفایل آن ها وجود دارد، فرم ها را سریع تر پر کرده و به طور خودکار فیلدها را با این اطلاعات تکمیل کنند. کاربر میتواند در صفحهای که فرم وجود دارد، این گزینه را انتخاب کرده و با اطلاعات پروفایل خود مانند نام، آدرس ایمیل، شرکت، شماره تلفن، کد پستی و کشور، این فرم را پر کند.
یک محقق امنیتی ۱۸ ساله از شیکاگو متوجه شد که با قرار دادن این قابلیت در یک وبسایت مخرب، مهاجم میتواند اطلاعات پروفایل کاربران را جمعآوری کند. به جای قرار دادن دکمهای که لینکدین طراحی کرده، مهاجم میتواند ویژگیهای آن را تغییر داده و آن را در جای جای وبسایت خود به حالت مخفی قرار دهد.
وقتی کاربری از این وبسایت مخرب بازدید و در جایی از وبسایت کلیک میکرد، در واقع بر روی دکمهی AutoFill کلیک میکرد و مهاجم میتوانست به اطلاعات پروفایل لینکدین بازدیدکننده دست یابد. این محقق اشاره کرده استفادههای اینچنینی از این ویژگی، تمامی قوانین مربوط به AutoFill را نقض میکند. در وهلهی اول، این ویژگی اجازه نمیدهد دادهها در فرم، قبل از مشاهده شدن توسط کاربر، به سمت مقصد ارسال شوند.
ثانیا هرچند برخی از فیلدهایی که ارسال میشوند در پروفایلهای لینکدین بهطور عمومی نمایش داده میشوند ولی برخی از دادههایی که AutoFill استفاده میکند، اطلاعات خصوصی در پروفایلها هستند. لینکدین در مستندات خود اعلام کرده فقط دادههای عمومی در فرمها مورد استفاده قرار میگیرد.
این محقق در تاریخ ۹ آوریل این آسیبپذیری را به لینکدین گزارش داد و راهکار موقتی روز بعد ارائه شد. در این راهکار موقتی، ویژگی AutoFill تنها در برخی از وبسایتهایی که در فهرست سفید لینکدین قرار دارند، میتواند مورد استفاده قرار بگیرد. به نظر این محقق، این راهکار کامل نبود چرا که این وبسایتها نیز ممکن است بر روی دادههای کاربران کنترل داشته باشند و یا اینکه آلوده شده و از دادههای کاربران سوءاستفاده شود.
در تاریخ ۱۹ آوریل، لینکدین راهکار قویتری را ارائه کرد و قرار شد زمانی که با قابلیت AutoFill دادههای کاربر در وبسایتی ارسال شد، به او اطلاع داده شود. لینکدین اعلام کرده تا کنون در دنیای واقعی، شواهدی مبنی بر بهرهبرداری از این آسیبپذیری مشاهده نشده است. هرچند این آسیبپذیری خیلی پیچیده نیست ولی بهرهبرداری از آن میتواند تبعات زیادی برای این شرکت و مشتریانش داشته باشد و شبیه به بهرهبرداری شرکت کمبریج آنالیتیکا از اطلاعات ۸۷ میلیون کاربر فیسبوک باشد.
