Уязвимость в LinkedIn позволяла тайно собирать данные пользователей

Исследователь безопасности Джек Кейбл (Jack Cable) обнаружил опасную уязвимость в социальной сети LinkedIn. Проблема могла быть проэксплуатирована для тайного сбора информации о пользователях.

Уязвимость связана с функцией LinkedIn AutoFill, активирующей кнопку «Автозаполнение с помощью LinkedIn». При нажатии она делает запрос на сайт LinkedIn, извлекает данные пользователя и вставляет их в форму заявки. Данная функция используется в основном на порталах по поиску работы.

Как выяснил исследователь, любой сайт может злоупотреблять данной функцией для скрытого сбора данных пользователя. Кнопку можно тайно установить на странице, изменив ее размер и сделав ее прозрачной путем изменения ряда настроек CSS. Таким образом пользователь может неосознанно предоставить свои данные, всего один раз нажав на любую страницу.

Кейбл уведомил команду безопасности LinkedIn о проблеме 9 апреля, после чего социальная сеть временно ограничила использование кнопки, а затем выпустила полноценное исправление.