Enquanto especialistas e pessoas ainda discutem o caso da Cambridge Analytica, outro caso desconcertante fez manchete — a agência de inteligência privada LocalBlox deixou um campo não protegido da AWS contendo 48 milhões de registos que também foram recolhidos do Facebook, LinkedIn e Twitter.
A recolha de dados é uma prática comum, e nestes dias, apenas estamos a descobrir a ponta do iceberg. Muitas agências que processam dados fazem-no por diferentes razões. E esta atividade, é muitas vezes favorecida por falhas de segurança em aplicações, plataformas, e sobre tudo, falhas em software.
Agora é a vez do LinkedIn. O investigador Jack Cable descobriu uma falha no LinkedIn, a funcionalidade de preenchimento automático (AutoFill), que permitia recolher dados dos utilizadores p.ex., em websites de terceiros.
A funcionalidade AutoFill permite preencher rapidamente formulários com dados do perfil do LinkedIn, incluindo nome, cargo, empresa, endereço de e-mail, número de telefone, cidade, código postal, estado e país.
Cable explicou que é possível explorar a função colocando o botão AutoFill, p.ex.,num site malicioso e divulgar a informação em websites terceiros.
Com esta falha, que viola claramente as políticas de privacidade do LinkedIn, quando um utilizador visita o site mal-intencionado e clica em qualquer componente da página, seja ele um botão, imagem, etc., botão AutoFill invisível é ativado, e que depois resulta na obtenção de dados do utilizador do LinkedIn.
“The potential for exploitation existed until being patched 04/19/18, as any whitelisted website can access this information with a single click.” wrote Cable.
“The exploit flowed as follows:
- The user visits the malicious site, which loads the LinkedIn AutoFill button iframe.
- The iframe is styled so it takes up the entire page and is invisible to the user.
- The user clicks anywhere on the page. LinkedIn interprets this as the AutoFill button being pressed and sends the information via PostMessage to the malicious site.
- he site harvests the user’s information via the following code:
Window.addEventListener("message", receiveMessage, false); function receiveMessage(event) { if (event.origin == 'https://www.linkedin.com') { let data = JSON.parse(event.data).data; if (data.email) { alert('Hi, ' + data.firstname + ' ' + data.lastname + '! Your email is ' + data.email + '. You work at ' + data.company + ' and you live in ' + data.city + ', ' + data.state + '.'); console.log(data); } } console.log(event) }
Cable diz ainda que, com esta falha é possível aceder a dados não públicos. No entanto, o LinkedIn afirma na sua documentação que apenas os dados públicos são fornecidos para preencher formulários.
Cable comunicou a falha ao LinkedIn no dia 9 de abril e a empresa restringiu temporariamente a funcionalidade de AutoFill para websites terceiros na lista de permissões. É claro que o problema não foi totalmente resolvido dessa maneira. Um atacante que conseguisse aceder a websites da white-list estava novamente em posição de recolher dados do LinkedIn.
No dia19 de abril, o LinkedIn publicou uma correção estável para o problema.