LinkedIn メンバーに提供されている AutoFill プラグインは、攻撃者がユーザーの個人データを盗む可能性があるバグの影響を受けていました。
この機能は LinkedIn のマーケティング ソリューションの有料顧客に提供されており、ユーザーはボタンをクリックするだけで、名前、電子メール アドレス、電話番号、勤務先などの個人情報を Web サイトのフォームに入力できるようになります。
このプラグインと互換性のある Web サイトのいずれかに、攻撃者による悪意のあるコードの実行を可能にするクロスサイト スクリプティング (XSS) の欠陥が含まれていた場合、攻撃者はドメインを悪用し、サイトがユーザーから取得するプロファイル データを盗むことが可能になります。
LinkedIn によれば、この欠陥は現在パッチされているが、10 代のホワイトハッカー、ジャック ケーブル氏によって報告された。ジャック ケーブル氏はこの脆弱性を LinkedIn に報告し、攻撃者がコードを実行してユーザー データを盗む方法を示す概念実証デモを作成した。
LinkedIn は、AutoFill プラグインがホワイトリストに登録したドメインとのみ互換性があると主張していますが、Cable は、最初にパッチが適用される 4 月初旬までは、どの Web サイトも悪用の原因となる可能性があることを実証しました。
次をお読みください: LinkedIn アカウントを削除する方法
Cable によると、このパッチは 4 月 10 日に適用され、AutoFill をホワイトリストに登録されたサイトのみに制限しました。しかし、4 月 19 日に 2 番目のパッチが適用されるまで、このバグはプラグインに残っていました。
LinkedIn は声明で次のように述べています。「私たちはこの問題を認識してから、直ちにこの機能の不正使用を阻止しました。現在、潜在的なさらなる悪用ケースに対処する別の修正を進めており、間もなく導入される予定です。
「悪用の兆候は見られませんが、メンバーのデータが確実に保護されるよう常に取り組んでいます。責任を持ってこの件を報告していただいた研究者に感謝しており、当社のセキュリティ チームは今後も研究者と連絡を取り続けていきます。
「明確にしておきますが、LinkedIn AutoFill は広く利用できるものではなく、承認された広告主のホワイトリストに登録されたドメインでのみ機能します。これにより、Web サイトの訪問者は、LinkedIn プロフィールからの情報をフォームに事前入力することを選択できるようになります。」
「 LinkedIn プラグインの欠陥により、メンバーが攻撃を受けやすくなりました」に関するベスト動画選定!
[SOLVED] HOW TO BUILD NETWORK IN LINKEDIN?
[SOLVED] HOW TO ATTACH YOUR CV ON LINKEDIN?