Das Karrierenetzwerk “LinkedIn” gehört zu den neusten Zukäufen von Microsoft. Sicherheitsexperte Jack Cable hat nun eine kritische Sicherheitslücke veröffentlicht, die es Hackern erlaubte, sensible Daten abzufischen.
“AutoFill”-Feature mit Schwachstelle
Das “AutoFill”-Feature ist normalerweise eine sehr nützliche Angelegenheit. Namen, Adresse, E-Mail und einiges mehr, werden einfach automatisch aus dem LinkedIn-Profil bezogen und bei verschiedenen Form-Bögen eingesetzt. Üblichlicherweise funktioniert dieses Feature nur bei vertrauenswürdigen Seiten (Whitelist-Seiten). Und dann auch nur, wenn man eine Aufforderung bestätigt, Daten automatisch auszufüllen.
Der Exploit funktioniert, indem er den AutoFill-Knopf unsichtbar macht und die gesamte Seite überspannt, so dass sich jeder Klick auf die Seite als AutoFill-Trigger registriert und alle angeforderten Daten an die Seite sendet. Darüber hinaus könnte ein Sicherheitsrisiko auf einer der von LinkedIn aufgelisteten Websites dazu führen, dass gesammelte Daten an böswillige Parteien gesendet werden.
LinkedIn meldete sich kurze Zeit später mit folgenden Worten bei den Kollegen von TechCrunch:
Wir haben die unbefugte Nutzung dieser Funktion sofort verhindert, sobald wir auf das Problem aufmerksam gemacht wurden. Wir drängen nun auf eine weitere Lösung, die sich mit potenziellen zusätzlichen Missbrauchsfällen befassen wird, und sie wird in Kürze in Kraft treten. Obwohl wir keine Anzeichen von Missbrauch gesehen haben, arbeiten wir ständig daran, dass die Daten unserer Mitglieder geschützt bleiben. Wir wissen es zu schätzen, dass der Forscher verantwortungsbewusst darüber berichtet, und unser Sicherheitsteam wird weiterhin mit ihnen in Kontakt bleiben.
Aus Gründen der Übersichtlichkeit ist LinkedIn AutoFill nicht allgemein verfügbar und funktioniert nur auf Whitelist-Domains für zugelassene Werbetreibende. Es ermöglicht den Besuchern einer Website, ein Formular mit Informationen aus ihrem LinkedIn-Profil vorzufüllen.
Das Team von LinkedIn hat also schnell reagiert und die Schäden sollten sich in Grenzen halten.
Genauere Informationen zu der Funktionsweise der Sicherheitslücke, könnt ihr auf Jack Cables Blog lesen.
