Un cazador de errores de 18 años de Chicago descubrió y reportó una vulnerabilidad crítica en un botón social de LinkedIn que podría haber sido abusada para recolectar información de usuarios de LinkedIn, algunos de los cuales pueden no haber sido públicos
El error residía en LinkedIn AutoFill, una función de la plataforma de LinkedIn que impulsa los botones "Autocompletar con LinkedIn" que se encuentran en algunos portales públicos de trabajo o páginas de aplicaciones de trabajo privadas.
El botón se debe agregar a los formularios de solicitud de empleo, y cuando se presiona, realiza una consulta al sitio web de LinkedIn, recupera los datos del usuario y los inserta en el formulario de solicitud de empleo.
Los botones se pueden ocultar y superponer en toda la página
Los botones son útiles, pero la semana del 9 de abril, el investigador de seguridad Jack Cable descubrió que cualquier sitio web podría abusar de ellos para llevar a cabo una operación secreta de recolección de datos del usuario.
Explicó en un informe publicado el día de hoy que cualquier sitio web podría haber incrustado secretamente este botón en una página, modificado el tamaño del botón para cubrir toda la pantalla, y lo hizo invisible modificando algunas configuraciones de CSS.
Cualquier usuario que navegue a este tipo de sitio web fraudulento sin querer habría enviado información de LinkedIn al sitio la primera vez que hizo clic en algún lugar de la página.
Un mecanismo tan simple de arrancar podría haber sido fácilmente utilizado para la recolección masiva de datos de los usuarios, un tema bastante sensible hoy en día para la mayoría de los operadores de redes sociales, principalmente debido al escándalo de privacidad de Facebook Cambridge Analytica.
LinkedIn implementa una solución universal
Cable notificó al equipo de seguridad de LinkedIn sobre el problema el 9 de abril, y la red social respondió restringiendo temporalmente el botón a una lista blanca de dominios confiables, para que los actores maliciosos no pudieran abusar de la función cargando secretamente el botón "Autocompletar con LinkedIn" en sitios sombríos .
Fecha actualización el 2021-04-20. Fecha publicación el 2018-04-20. Categoría: linkedin. Autor: Oscar olg Mapa del sitio Fuente: softpedia"LinkedIn ha lanzado una solución universal", dijo Cable. "Ahora solicitan una alerta pidiendo al usuario que apruebe compartir su información. Puede probar esta funcionalidad aquí , haciendo clic en el botón Autorrellenar".
