Un error en LinkedIn permitió el robo de datos

Los datos privados del perfil, como los números de teléfono y las direcciones de correo electrónico, podrían haberse recopilado fácilmente.

Según expertos en seguridad informática, la falla se encontró en el complemento AutoFill de LinkedIn, que permite a los sitios web de terceros aprobados que los miembros de LinkedIn completen automáticamente información básica de su perfil, como su nombre, dirección de correo electrónico, ubicación y dónde funcionan, como una forma rápida de registrarse en el sitio o de recibir boletines por correo electrónico.

linkedin

LinkedIn solo permite que los dominios incluidos en la lista blanca tengan esta funcionalidad, y LinkedIn tiene que aprobar cada nuevo dominio. En este momento, hay docenas de sitios en los mejores 10,000 sitios web clasificados por Alexa que han sido incluidos en la lista blanca de LinkedIn, incluidos Twitter, Microsoft y más.

Eso significa que cualquiera de esos sitios web puede recuperar los datos de este perfil de los usuarios sin su aprobación.

Pero si alguno de los sitios contiene una falla de scripts entre sitios (XSS), que permite que un atacante ejecute código malicioso en un sitio web, un atacante puede retroceder ese dominio incluido en la lista blanca para obtener datos de LinkedIn.

Y resulta que al menos uno de ellos lo hizo.

“La información de un usuario puede ser involuntariamente expuesta a cualquier sitio web simplemente haciendo clic en algún lugar de la página”, dijo el profesional de la seguridad informática Jack Cable, en un artículo detallado publicado el jueves. “Esto se debe a que el botón Autorrellenar podría hacerse invisible y abarcar toda la página, haciendo que el usuario haga clic en cualquier lugar para enviar la información del usuario al sitio web”.

LinkedIn confirmó que el error finalmente se solucionó el jueves después de la divulgación de Cable. También construyó un código de prueba de concepto para demostrar el defecto.

Una falla de XSS en un sitio web de la lista blanca de LinkedIn, que no nombramos, le permitió ejecutar silenciosamente el código de prueba de concepto desde su propio servidor. La página cargó, y luego un mensaje dijo: “Haga clic en cualquier lugar de la página”. Fue entonces cuando apareció un cuadro que revela la información del usuario.

Al igual que con cualquier falla de XSS, esta información podría enviarse al servidor de un actor malintencionado.

“Que esto expone la información de un usuario independientemente de su configuración de privacidad”, dijo Cable. “Por ejemplo, si configuro mi configuración de privacidad para que no muestre mi apellido o dirección de correo electrónico y visualice una ubicación general, esto aún me devuelve mi nombre completo, dirección de correo electrónico y código postal”.

Las direcciones de correo electrónico nunca se muestran en los perfiles de LinkedIn, a menos que el usuario lo coloque allí. Esto no solo es para evitar el correo no deseado, sino también como una medida de seguridad, ya que las direcciones de correo electrónico recopiladas por el error Autocompletar se utilizan para iniciar sesión en el sitio.

LinkedIn AutoFill también devolvió el número de teléfono de un usuario, si está presente, aunque la prueba de concepto no lo mostró en la ventana emergente.

“Inmediatamente impedimos el uso no autorizado de esta función, una vez que nos enteramos del problema”, dijo un experto en seguridad informática de LinkedIn.

“Si bien no hemos visto signos de abuso, estamos trabajando constantemente para garantizar que los datos de nuestros miembros permanezcan protegidos. Agradecemos al investigador que informe de manera responsable y nuestro equipo de seguridad continuará en contacto con ellos”, agregó el experto.