🔴 شرکت LinkedIn یک سرویس تجاری و اشتغال است که از طریق وب سایتها و برنامههای تلفن همراه عمل میکند. LinkedIn بزرگترین شبکه شغلی جهان است که محل فعالیت متخصصان، صاحبان کسب و کار، افراد جویای کار و سایر موارد میباشد. از سال 2015، بیشتر درآمد این شرکت از فروش دسترسی به اطلاعات مربوط به اعضای آن به کارکنان و متخصصان حاصل میشود.
🔴 اخیرا یک حفره امنیتی بر روی این شبکه یافت شده که اجازه میدهد تا اطلاعات کاربران مثل نام، شماره تماس، محل کار، ایمیل و سایر موارد از پروفایل آنها دزدیده شود. یک اشکال در نحوه تکمیل خودکار اطلاعات LinkedIn در وب سایتهای دیگر میتواند به یک مهاجم اجازه دهد که به طور صریح اطلاعات مشخصات کاربر را سرقت کند. این نقص در پلاگین AutoFill که به طور گستردهای استفاده میشود، وجود دارد و به وبسایتهای شخص ثالث مورد تأیید اجازه میدهد تا اعضای LinkedIn به طور خودکار اطلاعات اساسی خود را مانند نام، محل کار و آدرس ایمیل خود به عنوان یک راه سریع برای ثبت نام در سایتها و یا برای دریافت خبرنامه الکترونیکی از پروفایل خود پر کنند. LinkedIn تنها به دامنههای لیست سفید اجازهی داشتن این قابلیت را میدهد و هر وب سایت جدیدی باید توسط LinkedIn تایید شود. هم اکنون، دهها سایت در 10،000 وب سایتهای رتبه بندی شده توسط الکسا وجود دارد که توسط LinkedIn لیست شدهاند، از جمله آنها میتوان به توییتر، مایکروسافت و LinkedIn اشاره کرد. این بدان معنی است که هر یک از این وبسایتها میتوانند این اطلاعات پروفایل را از کاربران بدون تایید آنها بازیابی کنند. اما اگر هر کدام از این سایتها دارای یک نقص حمله ترزیق اسکریپت از طریق سایت(XSS) باشد که اجازه میدهد مهاجم یک کد مخرب را بر روی یک وب سایت اجرا کند، مهاجم میتواند از این دامنه موجود در لیست سفید برای گرفتن اطلاعات ازLinkedIn استفاده کند. همانطور که میدانید ماهیت حملات XSS شامل دزدیدن کوکیها، سرقت اطلاعات مانند رمز عبور و حسابهای بانکی، ارسال درخواست جعلی، مدیریت کل محتوای HTML و سایر موارد است.
🔴 آقای Jack Cable در یک نوشتار تفصیلی نوشت: "اطلاعات کاربر به سادگی میتواند ناخواسته در معرض هر وب سایت با کلیک کردن بر روی جایی در صفحه قرار گیرد". این به این دلیل است که دکمه AutoFill را میتوان نامرئی ساخت که کل صفحه را در بر گیرد و باعث شود که با کلیک در هر جایی اطلاعات کاربر به وب سایت ارسال شود." این حفره امنیتی لینکدین اطلاعات کاربر مانند ایمیل، شماره تلفن و محل کار را بدون در نظر گرفتن تنظیمات حریم خصوصی به نمایش میگذارد. حتی اگر تنظیم کنیم که آدرس و ایمیل من نمایش داده نشود، اما هنوزمشاهده میکنیم که ایمیل، کد پستی و سایر اطلاعات نمایش داده میشود.
🔴 لینکدین در پاسخ به این مشکل امنیتی اعلام کرده: "هنگامی که از این موضوع مطلع شدیم، بلافاصله از استفاده غیر مجاز از این ویژگی جلوگیری کردیم. در حالیکه شاهد هیچ نشانهای از سوء استفاده نیستیم، ولی دائمأ در تلاش هستیم تا اطمینان حاصل کنیم که دادههای اعضای ما محافظت میشود. ما از گزارش دهندهی این نقص سپاسگذاری میکنیم و تیم امنیتی ما همچنان در ارتباط با آنها باقی خواهد ماند".
لینک خبر:
https://apatabrizu.ir/Home/BlogDetails/29
🔴 اخیرا یک حفره امنیتی بر روی این شبکه یافت شده که اجازه میدهد تا اطلاعات کاربران مثل نام، شماره تماس، محل کار، ایمیل و سایر موارد از پروفایل آنها دزدیده شود. یک اشکال در نحوه تکمیل خودکار اطلاعات LinkedIn در وب سایتهای دیگر میتواند به یک مهاجم اجازه دهد که به طور صریح اطلاعات مشخصات کاربر را سرقت کند. این نقص در پلاگین AutoFill که به طور گستردهای استفاده میشود، وجود دارد و به وبسایتهای شخص ثالث مورد تأیید اجازه میدهد تا اعضای LinkedIn به طور خودکار اطلاعات اساسی خود را مانند نام، محل کار و آدرس ایمیل خود به عنوان یک راه سریع برای ثبت نام در سایتها و یا برای دریافت خبرنامه الکترونیکی از پروفایل خود پر کنند. LinkedIn تنها به دامنههای لیست سفید اجازهی داشتن این قابلیت را میدهد و هر وب سایت جدیدی باید توسط LinkedIn تایید شود. هم اکنون، دهها سایت در 10،000 وب سایتهای رتبه بندی شده توسط الکسا وجود دارد که توسط LinkedIn لیست شدهاند، از جمله آنها میتوان به توییتر، مایکروسافت و LinkedIn اشاره کرد. این بدان معنی است که هر یک از این وبسایتها میتوانند این اطلاعات پروفایل را از کاربران بدون تایید آنها بازیابی کنند. اما اگر هر کدام از این سایتها دارای یک نقص حمله ترزیق اسکریپت از طریق سایت(XSS) باشد که اجازه میدهد مهاجم یک کد مخرب را بر روی یک وب سایت اجرا کند، مهاجم میتواند از این دامنه موجود در لیست سفید برای گرفتن اطلاعات ازLinkedIn استفاده کند. همانطور که میدانید ماهیت حملات XSS شامل دزدیدن کوکیها، سرقت اطلاعات مانند رمز عبور و حسابهای بانکی، ارسال درخواست جعلی، مدیریت کل محتوای HTML و سایر موارد است.
🔴 آقای Jack Cable در یک نوشتار تفصیلی نوشت: "اطلاعات کاربر به سادگی میتواند ناخواسته در معرض هر وب سایت با کلیک کردن بر روی جایی در صفحه قرار گیرد". این به این دلیل است که دکمه AutoFill را میتوان نامرئی ساخت که کل صفحه را در بر گیرد و باعث شود که با کلیک در هر جایی اطلاعات کاربر به وب سایت ارسال شود." این حفره امنیتی لینکدین اطلاعات کاربر مانند ایمیل، شماره تلفن و محل کار را بدون در نظر گرفتن تنظیمات حریم خصوصی به نمایش میگذارد. حتی اگر تنظیم کنیم که آدرس و ایمیل من نمایش داده نشود، اما هنوزمشاهده میکنیم که ایمیل، کد پستی و سایر اطلاعات نمایش داده میشود.
🔴 لینکدین در پاسخ به این مشکل امنیتی اعلام کرده: "هنگامی که از این موضوع مطلع شدیم، بلافاصله از استفاده غیر مجاز از این ویژگی جلوگیری کردیم. در حالیکه شاهد هیچ نشانهای از سوء استفاده نیستیم، ولی دائمأ در تلاش هستیم تا اطمینان حاصل کنیم که دادههای اعضای ما محافظت میشود. ما از گزارش دهندهی این نقص سپاسگذاری میکنیم و تیم امنیتی ما همچنان در ارتباط با آنها باقی خواهد ماند".
لینک خبر:
https://apatabrizu.ir/Home/BlogDetails/29