LinkedIn'de Bulunan Bug Veri İhlaline Sebep Oldu

Platformda keşfedilen hata, saldırganların kullanıcılara ait kişisel verileri çalmasına olanak tanıdı.

Tam da Siber Güvenlik Anlaşmasının imzalanması ardından Microsoft'a ait LinkedIn platformu, Jack Cable'ın keşfettiği açık yüzünden eleştiri yağmuruna maruz kaldı. Cable'a göre LinkedIn'in popüler AutoFill özelliği ve siteler arası komut sisteminde (cross-site scripting, XSS) bulunan güvenlik açığı, kullanıcı verilerinin gizlice çalınmasını mümkün hale getiriyor.

Genel olarak AutoFill özelliği sadece beyaz listede bulunan sitelerde çalışıyor ve kullanıcı adı, e-posta adresi, telefon numarası, konum ve çalışma geçmişi gibi bilgileri içeriyor. Bu bilgiler iş başvurusu yapılırken harici bir formu doldurmak için kullanılabiliyor. Linkedin Pazarlama Çözümleri sayesinde herhangi bir alan ismini beyaz listeye eklemek oldukça kolay.

Açığı kötüye kullanan sitelerin üzerinde görünmez bir kaplama oluyor ve herhangi bir yere tıkladığınızda görünmez bir formu doldurmuş oluyorsunuz. AutoFill'de bulunan tüm verileriniz, haberiniz olmadan çalınabiliyor. Bu da yetmezmiş gibi iyi niyetli olan siteler bile saldırıya uğrayabilir ve kişisel verileriniz yine tehlikeye girebilir.

Bu sorun ile ilgili haberlerin yaygınlaşması ardından LinkedIn, TechCrunch'a şu açıklamayı yaptı.

"Bu açıktan haberdar olur olmaz, özelliğin izinsiz kullanımını derhal etkisiz hale getirdik. Daha fazla güvenlik için yeni bir yama daha geliştiriyoruz. Şimdilik bu açığın kötüye kullanıldığına dair bir kanıt bulamadık ve kullanıcılarımız verilerini korumak için elimizden geleni yapıyoruz. Bu açığı keşfedip bizimle iletişime geçen güvenlik ekibine de teşekkür ediyoruz ve onlarla iletişimimiz devam ediyor.

Konuya açıklık getirmek gerekirse, LinkedIn AutoFill genel olarak kullanıma açık değil ve sadece reklamcılar tarafından beyaz listeye eklenmiş alanlarda çalışıyor. Bu özellik saesinde LinkedIn profilinizden yararlanarak formlarınızı doldurabilirsiniz."

Sonraki Haber

Forum