Bạn ghé thăm diễn đàn lần đầu? hãy đăng ký ngay bây giờ để tham gia.
  • Đăng nhập:

Chào mừng bạn đến với ITVNN FORUM - Diễn đàn công nghệ thông tin.

Nếu đây là lần đầu tiên bạn tham gia diễn đàn, xin mời bạn xem phần Hỏi/Ðáp để biết cách dùng diễn đàn. Để có thể tham gia thảo luận bạn phải đăng ký làm thành viên, click vào đây để đăng ký.


  • Partner Area
kết quả từ 1 tới 1 trên 1
Tăng kích thước phông chữ Giảm kích thước phông chữ
  1. #1
    Duyenta's Avatar

    Trạng thái
    Offline
    Tham gia ngày
    Oct 2017
    Thành viên thứ
    115059
    Tuổi
    23
    Giới tính
    Bài gởi
    25
    Level: 16 [?]
    Experience: 8,224
    Next Level: 10,000
    Cảm ơn 0
    Cảm ơn 1 lần / 1 Bài viết

    Default Hacker đánh cắp dữ liệu của Linkedin  

    Không chỉ Facebook, một lỗ hổng trong AutoFill plugin của Linkedin đã bị phát hiện làm rò rỉ thông tin nhạy cảm của người dùng tới các trang web của bên thứ ba mà không có sự cho phép của họ.
    LinkedIn cung cấp AutoFill plugin trong một thời gian dài mà các trang web khác có thể sử dụng để cho phép người dùng LinkedIn điền nhanh vào dữ liệu hồ sơ, bao gồm họ tên đầy đủ, số điện thoại, địa chỉ email, mã ZIP, công ty và chức danh công việc.
    Lỗ hổng trong Autofill cho phép site bên thứ ba lấy cắp dữ liệu người dùng
    AutoFill plugin
    Nói chung, nút AutoFill chỉ hoạt động trên “các trang web có trong danh sách cho phép” cụ thể, nhưng nhà nghiên cứu bảo mật 18 tuổi Jack Cable of Lightning Security cho biết nó không chỉ đơn giản như vậy.
    Cable phát hiện ra rằng tính năng này bị cản trở bởi một lỗ hổng bảo mật đơn giản nhưng nghiêm trọng, có khả năng cho phép bất kỳ trang web (scrapers) bí mật thu thập dữ liệu hồ sơ người dùng và người dùng thậm chí sẽ không nhận ra điều đó.
    Một trang web hợp pháp có thể đặt nút AutoFill gần các chỗ thuận tiện cho người dùng sử dụng, nhưng theo Cable, kẻ tấn công có thể sử dụng tính năng AutoFill trên trang web của hắn một cách bí mật bằng cách thay đổi các thuộc tính của nó để trải rộng nút AutoFill trên toàn bộ trang web và sau đó làm cho nó vô hình.
    Cable giải thích rằng vì nút AutoFill là vô hình, nên khi người dùng nhấp vào bất kỳ nơi nào trên trang web thì họ sẽ vô tình kích hoạt tính năng AutoFill, dẫn đến việc tất cả dữ liệu công khai cũng như riêng tư của người dùng sẽ được gửi tới trang web độc hại.
    Dưới đây là cách thức kẻ tấn công khai thác lỗ hổng trong Autofill plugin của LinkedIn:
    Người dùng truy cập trang web độc hại có iframe chứa nút AutoFill.
    Iframe được thiết kế để chiếm toàn bộ trang và ẩn với người dùng.
    Khi người dùng nhấp vào bất kỳ nơi nào trên trang đó, LinkedIn sẽ diễn giải hành động này như là nút AutoFill được nhấn và gửi dữ liệu của người dùng qua postMessage đến trang web độc hại.
    Cable đã phát hiện ra lỗ hổng này vào ngày 9 tháng 4 và ngay lập tức tiết lộ nó cho LinkedIn. Công ty đã ban hành một sửa chữa tạm thời vào ngày hôm sau mà không thông báo cho công chúng về vấn đề này.
    Bản sửa lỗi này chỉ giới hạn việc sử dụng tính năng AutoFill của LinkedIn cho các trang web có trong danh sách trắng mà chỉ trả tiền cho LinkedIn để lưu trữ quảng cáo của họ, nhưng Cable cho rằng bản vá chưa đầy đủ và vẫn để tính năng AutoFill bị lạm dụng bởi vì các trang trắng vẫn có thể thu thập dữ liệu người dùng.
    Bên cạnh đó, nếu bất kỳ trang web nào được liệt kê trong danh sách trắng của LinkedIn bị xâm nhập, tính năng AutoFill có thể bị lạm dụng để gửi dữ liệu đã thu thập đến các bên thứ ba độc hại.
    Để chứng minh vấn đề này, Cable cũng xây dựng một trang thử nghiệm PoC để cho thấy cách một trang web có thể lấy tên, địa chỉ email và vị trí của bạn.
    Kể từ khi LinkedIn đưa ra một bản fix hoàn chỉnh vào ngày 19 tháng 4, trang demo ở trên không thể tiến hành khai thác lỗ hổng trong Autofill plugin để lấy dữ liệu người dùng được nữa.
    “Một khi nhận thức được vấn đề, chúng tôi ngay lập tức ngăn chặn việc sử dụng trái phép tính năng này. Chúng tôi hiện đang chuẩn bị đưa ra một bản sửa lỗi khác để giải quyết các trường hợp lạm dụng bổ sung”.
    “Mặc dù không có dấu hiệu của việc lạm dụng, chúng tôi liên tục làm việc để đảm bảo dữ liệu của các thành viên vẫn được bảo vệ. Chúng tôi đánh giá cao các nhà nghiên cứu chịu trách nhiệm báo cáo điều này và nhóm bảo mật của chúng tôi sẽ tiếp tục giữ liên lạc với họ”.
    Mặc dù lỗ hổng trong Autofill plugin không phải là một vấn đề phức tạp hay nghiêm trọng dẫn đến việc rò rỉ dữ liệu khổng lồ như vụ bê bối Cambridge Analytica gần đây – trong đó dữ liệu của hơn 87 triệu người dùng Facebook đã bị lộ, những lỗ hổng bảo mật này có thể đe dọa nghiêm trọng không chỉ cho khách hàng mà còn cho cả chính công ty.
    Nguồn: SecurityBox


 

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Similar Threads

  1. Trả lời: 7
    Bài mới gởi: 25-02-2014, 02:41 PM
  2. Trả lời: 0
    Bài mới gởi: 24-07-2011, 07:30 AM
  3. Hacker vẫn “ưa thích” Việt Nam
    By Dunglx in forum Hacking & Security
    Trả lời: 1
    Bài mới gởi: 27-05-2011, 04:23 PM
  4. CEH Hacker Box
    By 0978230289 in forum Hacking & Security
    Trả lời: 0
    Bài mới gởi: 09-12-2010, 03:35 PM
  5. Hacker Mũ Trắng - Certified Ethical Hacker
    By karrox in forum Tin tức CNTT
    Trả lời: 0
    Bài mới gởi: 03-11-2009, 09:12 AM

Tags for this Thread

Bookmarks

Quuyền Hạn Của Bạn

  • Bạn không thể tạo chủ đề mới
  • Bạn không thể trả lời bài viết
  • Bạn không thể gửi file đính kèm
  • Bạn không thể chỉnh sửa bài viết
  •