Privédata zoals telefoonnummers en emailadressen konden worden gestolen door een bug in de automatisch aanvullen-functie van LinkedIn. Door middel van een cross-site scripting-fout (XSS) kon minstens één hacker gegevens buitmaken.
De LinkedIn-bug zit in de AutoFill-plugin, een functie die externe websites de mogelijkheid geeft om automatisch basisinformatie in te vullen van een LinkedIn-profiel. Op deze manier kan je snel op de website inschrijven om bijvoorbeeld nieuwsbrieven te ontvangen.
LinkedIn geeft deze functie echter niet aan iedereen en keurt elk domein manueel goed voordat de plugin wordt geïmplementeerd. Dat is op zich niet fout, behalve wanneer één van die goedgekeurde websites een XSS-fout bevat. Hiermee kan een hacker malafide code misbruiken op de website, om zo via de plugin data te verkrijgen van LinkedIn-profielen.
Jack Cable heeft in een blogpost in detail uitgelegd hoe hij tewerk ging en wat er allemaal buit kan worden gemaakt. Hij heeft zelfs een proof-of-concept gemaakt waar jij kan zien hoe hij te werk gaat. Hij laat echter niet weten welke website hij misbruikt om de gegevens van LinkedIn te verkrijgen.
Ongeacht of je privacy-instellingen op LinkedIn je adres, email en telefoonnummer moeten verbergen, kan je met de hack toch alle gegevens weergeven.
Na de eerste patch die LinkedIn gisteren uitrolde, was het probleem nog niet helemaal van de baan. Ondertussen heeft LinkedIn een tweede patch toegepast en werkt het intensief verder aan een betere oplossing.
LinkedIn heeft ondertussen een statement aan Techcrunch gegeven: “We hebben onmiddellijk alle ongeautoriseerde toegang van deze functie geblokkeerd. Hoewel we geen tekenen van misbruik hebben geregistreerd, werken we de klok rond om data van onze gebruikers te beschermen. We appreciëren het dat de onderzoeker die het lek heeft gevonden, onmiddellijk contact heeft opgenomen met ons veiligheidsteam. Ter verduidelijking, LinkedIn Autofill werd niet massaal gebruikt en wordt enkel toegelaten voor goedgekeurde adverteerders.â€