ليس فقط فيسبوك ، هو نقطة ضعف جديدة اكتشفت في وظيفة AutoFill الشهيرة في Linkedin ، حيث وجدت أنها تسرب معلومات المستخدمين الحساسة إلى مواقع أطراف ثالثة دون أن يعرفها المستخدم.يوفر LinkedIn ملحق AutoFill لفترة طويلة يمكن لمواقع ويب أخرى استخدامه للسماح لمستخدمي LinkedIn بملء بيانات ملف التعريف بسرعة ، بما في ذلك الاسم الكامل ورقم الهاتف وعنوان البريد الإلكتروني والرمز البريدي والشركة والمسمى الوظيفي بنقرة واحدة.
بشكل عام ، لا يعمل زر "الملء التلقائي" إلا على "المواقع البيضاء" على وجه التحديد ، ولكن باحث الأمان البالغ من العمر 18 عامًا ، Jack Cable of Lightning Security ، قال إن الأمر ليس كذلك فقط.
اكتشف كابل أن الميزة تعاني من ثغرة أمنية بسيطة ومهمة ، والتي من المحتمل أن تمكّن أي موقع ويب (كاشطات) من الحصول على بيانات ملف تعريف المستخدم سرًا وأن المستخدم لن يدرك حتى الحدث.
من المحتمل أن يضع موقع ويب شرعي زر "الملء التلقائي" بالقرب من الحقول التي يمكن أن يملأها الزر ، ولكن وفقًا لـ "كيبل" ، يمكن للمهاجم استخدام ميزة "الملء التلقائي" سراً على موقعه الإلكتروني عن طريق تغيير خصائصه لنشر الزر عبر صفحة الويب بالكامل ثم جعله غير مرئى.
نظرًا لأن زر الملء التلقائي غير مرئي ، فإن المستخدمين الذين ينقرون في أي مكان على موقع الويب سيشغلون ميزة "الملء التلقائي" ، ثم يرسلون جميع بياناتهم العامة والخاصة المطلوبة إلى موقع الويب الخبيث في النهاية ، كما يشرح كابل.
وإليك كيف يمكن للمهاجمين استغلال LinkedIn LinkedIn:
- يزور المستخدم موقع الويب الضار ، الذي يُحمِّل زر LinkedIn تلقائيًا.
- تم تصميم iframe بطريقة تستهلك الصفحة بالكامل وهي غير مرئية للمستخدم.
- عندئذ يقوم المستخدم بالنقر فوق أي مكان في تلك الصفحة ، وتقوم LinkedIn بتفسير ذلك أثناء الضغط على الزر AutoFill وإرسال بيانات المستخدمين عبر postMessage إلى الموقع الخبيث.
لا يقتصر الإصلاح على استخدام ميزة "الملء التلقائي" في LinkedIn لمواقع الويب المدرجة في القائمة البيضاء فقط ممن يدفعون "LinkedIn" لاستضافة إعلاناتهم ، ولكن "كيبل" جادل بأن التصحيح غير مكتمل وما زال يترك الميزة مفتوحة للإساءة حيث أن مواقع القائمة البيضاء لا يزال بإمكانها جمع بيانات المستخدم.
بالإضافة إلى ذلك ، إذا تعرض أي من المواقع التي تمت إضافتها إلى القائمة البيضاء إلى LinkedIn ، فقد تم إساءة استخدام ميزة الملء التلقائي لإرسال البيانات المجمعة إلى أطراف ثالثة ضارة.
لإثبات المشكلة ، قامت شركة Cable أيضًا ببناء صفحة اختبار إثبات المفهوم ، والتي توضح كيف يمكن لموقع ويب انتزاع الاسم الأول واسم العائلة وعنوان البريد الإلكتروني وصاحب العمل والموقع.
نظرًا لأنه تم طرح إصلاح كامل للثغرة من خلال LinkedIn في 19 نيسان ، فربما لا تعمل الصفحة التجريبية أعلاه لك الآن.
وقالت الشركة في بيان "منعنا على الفور الاستخدام غير المصرح به لهذه الميزة بمجرد أن علمنا بالمشكلة. ندفع الآن إصلاحا آخر سيتصدى لحالات إساءة أخرى محتملة وستكون جاهزة في وقت قريب."
"على الرغم من أننا لم نر أي علامات على إساءة الاستخدام ، إلا أننا نعمل باستمرار على ضمان حماية بيانات أعضائنا. نحن نقدر أن يكون الباحث مسؤولاً عن الإبلاغ ، وسيواصل فريقنا الأمني البقاء على اتصال بهما."على الرغم من أن هذه الثغرة ليست على الإطلاق معقدة أو حرجة ، في ضوء فضيحة كامبريدج أناليتيكا الأخيرة حيث تم الكشف عن بيانات أكثر من87 مليون مستخدم للفيسبوك ، فإن مثل هذه الثغرات الأمنية يمكن أن تشكل تهديدًا خطيرًا ليس فقط للعملاء بل أيضًا للشركة نفسها.