Après la faille chez Facebook, c’est au tour de LinkedIn de connaitre les joies des vols de données privées de ses utilisateurs.
LinkedIn fournit un plugin AutoFill que d’autres sites Web peuvent utiliser pour permettre aux utilisateurs de LinkedIn de remplir rapidement et en un seul clic les données de leur profil, y compris leur nom complet, numéro de téléphone, adresse électronique, code postal, société et titre de poste.
En général, le bouton AutoFill ne fonctionne que sur les sites Web spécifiquement « whitelisted », mais Jack Cable, 18 ans, chercheur en sécurité de Lightning Security, a déclaré que ce n’est pas seulement le cas.
Cable a découvert que la fonctionnalité était en proie à une vulnérabilité de sécurité simple mais importante qui permettait à n’importe quel site Web de récolter secrètement les données du profil utilisateur et que l’utilisateur ne se rendrait même pas compte de l’événement.
Un site Web légitime placerait probablement un bouton AutoFill près des champs que le bouton peut remplir, mais selon Cable, un attaquant pourrait secrètement utiliser la fonction AutoFill sur son site Web en changeant ses propriétés pour étendre le bouton sur toute la page Web tout en le laissant invisible. Les utilisateurs activeraient la fonction en cliquant n’importe où sur la page, envoyant toutes les données publiques et privées disponibles sur leur profil LinkedIn, et ce toujours de manière invisible.
Cable a découvert la vulnérabilité le 9 avril et l’a immédiatement divulguée à LinkedIn. Le lendemain, l’entreprise a publié un correctif temporaire sans en informer le public.
Le correctif restreint l’utilisation de la fonction AutoFill de LinkedIn qu’aux sites Web en liste blanche qui paient LinkedIn pour héberger leurs publicités. Mais Cable a fait valoir que les sites en liste blanche pouvaient recueillir les données des utilisateurs et s’en servir sans leur consentement. De plus, si les sites de la liste blanche étaient eux-mêmes compromis, les données pourraient être pillées et envoyées vers des tiers malveillants.
Un correctif complet pour la vulnérabilité a été déployé par LinkedIn le 19 avril.
« Nous avons immédiatement empêché l’utilisation non autorisée de cette fonction une fois que nous avons été mis au courant du problème. Nous développons maintenant une autre solution qui s’attaquera à d’autres cas d’abus potentiels, et elle sera en place sous peu « , a déclaré la société dans un communiqué.
« Bien que nous n’ayons vu aucun signe d’abus, nous travaillons constamment à assurer la protection des données de nos membres. Nous apprécions le chercheur responsable de ce rapport, et notre équipe de sécurité continuera de rester en contact avec eux ».
Bien que la vulnérabilité ne soit pas sophistiquée ou critique, de telles failles de sécurité peuvent constituer une menace sérieuse non seulement pour les clients, mais aussi pour l’entreprise elle-même. Surtout après les nombreux scandales sur Facebook et Campbridge analytica.
Un autre article sur les collecte de données ?
