Hacker đánh cắp dữ liệu của Linkedin

[Duyenta]

Không chỉ Facebook, một lỗ hổng trong AutoFill plugin của Linkedin đã bị phát hiện làm rò rỉ thông tin nhạy cảm của người dùng tới các trang web của bên thứ ba mà không có sự cho phép của họ.
LinkedIn cung cấp AutoFill plugin trong một thời gian dài mà các trang web khác có thể sử dụng để cho phép người dùng LinkedIn điền nhanh vào dữ liệu hồ sơ, bao gồm họ tên đầy đủ, số điện thoại, địa chỉ email, mã ZIP, công ty và chức danh công việc.
Lỗ hổng trong Autofill cho phép site bên thứ ba lấy cắp dữ liệu người dùng
AutoFill plugin
Nói chung, nút AutoFill chỉ hoạt động trên “các trang web có trong danh sách cho phép” cụ thể, nhưng nhà nghiên cứu bảo mật 18 tuổi Jack Cable of Lightning Security cho biết nó không chỉ đơn giản như vậy.
Cable phát hiện ra rằng tính năng này bị cản trở bởi một lỗ hổng bảo mật đơn giản nhưng nghiêm trọng, có khả năng cho phép bất kỳ trang web (scrapers) bí mật thu thập dữ liệu hồ sơ người dùng và người dùng thậm chí sẽ không nhận ra điều đó.
Một trang web hợp pháp có thể đặt nút AutoFill gần các chỗ thuận tiện cho người dùng sử dụng, nhưng theo Cable, kẻ tấn công có thể sử dụng tính năng AutoFill trên trang web của hắn một cách bí mật bằng cách thay đổi các thuộc tính của nó để trải rộng nút AutoFill trên toàn bộ trang web và sau đó làm cho nó vô hình.
Cable giải thích rằng vì nút AutoFill là vô hình, nên khi người dùng nhấp vào bất kỳ nơi nào trên trang web thì họ sẽ vô tình kích hoạt tính năng AutoFill, dẫn đến việc tất cả dữ liệu công khai cũng như riêng tư của người dùng sẽ được gửi tới trang web độc hại.
Dưới đây là cách thức kẻ tấn công khai thác lỗ hổng trong Autofill plugin của LinkedIn:
Người dùng truy cập trang web độc hại có iframe chứa nút AutoFill.
Iframe được thiết kế để chiếm toàn bộ trang và ẩn với người dùng.
Khi người dùng nhấp vào bất kỳ nơi nào trên trang đó, LinkedIn sẽ diễn giải hành động này như là nút AutoFill được nhấn và gửi dữ liệu của người dùng qua postMessage đến trang web độc hại.
Cable đã phát hiện ra lỗ hổng này vào ngày 9 tháng 4 và ngay lập tức tiết lộ nó cho LinkedIn. Công ty đã ban hành một sửa chữa tạm thời vào ngày hôm sau mà không thông báo cho công chúng về vấn đề này.
Bản sửa lỗi này chỉ giới hạn việc sử dụng tính năng AutoFill của LinkedIn cho các trang web có trong danh sách trắng mà chỉ trả tiền cho LinkedIn để lưu trữ quảng cáo của họ, nhưng Cable cho rằng bản vá chưa đầy đủ và vẫn để tính năng AutoFill bị lạm dụng bởi vì các trang trắng vẫn có thể thu thập dữ liệu người dùng.
Bên cạnh đó, nếu bất kỳ trang web nào được liệt kê trong danh sách trắng của LinkedIn bị xâm nhập, tính năng AutoFill có thể bị lạm dụng để gửi dữ liệu đã thu thập đến các bên thứ ba độc hại.
Để chứng minh vấn đề này, Cable cũng xây dựng một trang thử nghiệm PoC để cho thấy cách một trang web có thể lấy tên, địa chỉ email và vị trí của bạn.
Kể từ khi LinkedIn đưa ra một bản fix hoàn chỉnh vào ngày 19 tháng 4, trang demo ở trên không thể tiến hành khai thác lỗ hổng trong Autofill plugin để lấy dữ liệu người dùng được nữa.
“Một khi nhận thức được vấn đề, chúng tôi ngay lập tức ngăn chặn việc sử dụng trái phép tính năng này. Chúng tôi hiện đang chuẩn bị đưa ra một bản sửa lỗi khác để giải quyết các trường hợp lạm dụng bổ sung”.
“Mặc dù không có dấu hiệu của việc lạm dụng, chúng tôi liên tục làm việc để đảm bảo dữ liệu của các thành viên vẫn được bảo vệ. Chúng tôi đánh giá cao các nhà nghiên cứu chịu trách nhiệm báo cáo điều này và nhóm bảo mật của chúng tôi sẽ tiếp tục giữ liên lạc với họ”.
Mặc dù lỗ hổng trong Autofill plugin không phải là một vấn đề phức tạp hay nghiêm trọng dẫn đến việc rò rỉ dữ liệu khổng lồ như vụ bê bối Cambridge Analytica gần đây – trong đó dữ liệu của hơn 87 triệu người dùng Facebook đã bị lộ, những lỗ hổng bảo mật này có thể đe dọa nghiêm trọng không chỉ cho khách hàng mà còn cho cả chính công ty.

Nguồn: SecurityBox