Microsoft bünyesinde faaliyet gösteren dünyanın en büyük profesyonel sosyal ağı LinkedIn’de kullanıcıların gizli profil bilgilerinin çalınmasına olanak tanıyan bir açık keşfedildi.
LinkedIn tarafından geliştirilen AutoFill isimli eklenti, kullanıcıların diğer sitelere üye olurken LinkedIn profillerindeki isimleri, e-posta adresleri, konumları ve işleri gibi basit bilgileri otomatik olarak doldurmalarını sağlıyor. Bu eklenti sayesinde kullanıcıların hızla yeni üyelikler alabiliyor.
LinkedIn bu eklentinin yalnızca güvenilir sitelerde uygulanmasına izin verirken, her bir siteyi tek tek onaylıyor. Günümüzde binlerce site ve uygulama LinkedIn tarafından onaylanmış durumda.
Bu sitelerden XSS hatasına sahip olanlar, siber korsanlara web sitesinde zararlı bir kod çalıştırarak sitenin LinkedIn’den bu bilgileri almasını ve kendine ulaştırmasını sağlıyor.
Lightning Security siber güvenlik şirketinden Jack Cable, en az bir sitenin böyle bir tuzağa alet olduğunu belirtti. “Kullanıcıların verileri sitede herhangi bir yere tıklamaları halinde istekleri dışında paylaşılıyor.” diyen Cable şöyle açıkladı: “Bunun sebebi AutoFill eklentisinin tüm siteyi kaplayacak şekilde ve görünmez tasarlanması. Bu nedenle herhangi bir yere tıklandığı an fonksiyon devreye giriyor.”
LinkedIn, Cable’ın hatayı ortaya çıkarmasının ardından gerekli hata giderme çalışmalarının yapıldığını ve hatanın artık siber korsanlar tarafından sömürülemeyeceğini açıkladı.