Das Karrierenetzwerk “LinkedIn” gehört zu den neusten Zukäufen von Microsoft. Sicherheitsexperte Jack Cable hat nun eine kritische Sicherheitslücke veröffentlicht, die es Hackern erlaubte, sensible Daten abzufischen.
Das “AutoFill”-Feature ist normalerweise eine sehr nützliche Angelegenheit. Namen, Adresse, E-Mail und einiges mehr, werden einfach automatisch aus dem LinkedIn-Profil bezogen und bei verschiedenen Form-Bögen eingesetzt. Üblichlicherweise funktioniert dieses Feature nur bei vertrauenswürdigen Seiten (Whitelist-Seiten). Und dann auch nur, wenn man eine Aufforderung bestätigt, Daten automatisch auszufüllen.
Der Exploit funktioniert, indem er den AutoFill-Knopf unsichtbar macht und die gesamte Seite überspannt, so dass sich jeder Klick auf die Seite als AutoFill-Trigger registriert und alle angeforderten Daten an die Seite sendet. Darüber hinaus könnte ein Sicherheitsrisiko auf einer der von LinkedIn aufgelisteten Websites dazu führen, dass gesammelte Daten an böswillige Parteien gesendet werden.
LinkedIn meldete sich kurze Zeit später mit folgenden Worten bei den Kollegen von TechCrunch:
Wir haben die unbefugte Nutzung dieser Funktion sofort verhindert, sobald wir auf das Problem aufmerksam gemacht wurden. Wir drängen nun auf eine weitere Lösung, die sich mit potenziellen zusätzlichen Missbrauchsfällen befassen wird, und sie wird in Kürze in Kraft treten. Obwohl wir keine Anzeichen von Missbrauch gesehen haben, arbeiten wir ständig daran, dass die Daten unserer Mitglieder geschützt bleiben. Wir wissen es zu schätzen, dass der Forscher verantwortungsbewusst darüber berichtet, und unser Sicherheitsteam wird weiterhin mit ihnen in Kontakt bleiben.
Aus Gründen der Übersichtlichkeit ist LinkedIn AutoFill nicht allgemein verfügbar und funktioniert nur auf Whitelist-Domains für zugelassene Werbetreibende. Es ermöglicht den Besuchern einer Website, ein Formular mit Informationen aus ihrem LinkedIn-Profil vorzufüllen.
Das Team von LinkedIn hat also schnell reagiert und die Schäden sollten sich in Grenzen halten.
Genauere Informationen zu der Funktionsweise der Sicherheitslücke, könnt ihr auf Jack Cables Blog lesen.
Windows 11 tut sich wirklich schwer damit, Nutzer des Betriebssystems Windows 10 davon zu überzeugen,…
Die EU-Kommission hat ein Verfahren gegen den Facebook-Mutterkonzern Meta auf den Weg gebracht. Es geht…
Heute möchten wir Euch einen besonderen Deal vorstellen, denn er wird nicht nur als Amazon-Tipp…
Für viele Gamer ist Twitch mittlerweile die Anlaufstelle schlechthin, wenn es um Streaming geht. Das…
Am 11. April fanden die British Academy Film Awards oder auch kurz BAFTAs statt. In…
Die App Microsoft Teams hat in den letzten Monaten einigen Auftrieb erhalten, indem sie durch…
Diese Webseite benutzt Cookies.