Une faille LinkedIn pour voler des données des profils d’utilisateurs

 

Un bug dans la façon dont LinkedIn remplit automatiquement les données sur d’autres sites Web aurait pu permettre à un attaquant de voler furtivement les données de profils utilisateur.

La faille a été identifiée dans le plugin de LinkedIn AutoFill, largement utilisé. Il permet aux sites tiers approuvés de permettre aux membres de LinkedIn de remplir automatiquement les informations de base de leur profil, telles que nom, adresse email, lieu de travail… Un moyen rapide de s’inscrire à un site ou une newsletter.

Une faille XSS dans un site en liste blanche

LinkedIn autorise uniquement les domaines en liste blanche à utiliser cette fonctionnalité, et LinkedIn doit approuver chaque nouveau domaine. A l’heure actuelle, des dizaines de sites parmi les 10.000 sites Web les mieux classés par Alexa figurent sur la liste blanche de LinkedIn, y compris Twitter, Microsoft, LinkedIn.

Cela signifie que l’un de ces sites Web peut récupérer ces données de profil auprès des utilisateurs sans leur approbation.

Mais si l’un des sites contient une faille XSS (cross-site scripting) qui permet à un attaquant d’exécuter du code malveillant sur un site Web, ce même attaquant peut exploiter ce domaine en liste blanche pour obtenir des données de LinkedIn.

Et il s’avère qu’au moins l’un d’entre eux est concerné.

« L’information d’un utilisateur peut être involontairement exposée à n’importe quel site Web simplement en cliquant quelque part sur la page » a déclaré Jack Cable, dans un compte rendu détaillé publié jeudi.

« En effet, le bouton de saisie automatique peut être rendu invisible et s’étendre sur toute la page, obligeant l’utilisateur à cliquer n’importe où pour envoyer les informations de l’utilisateur au site Web. »

Cable a contacté ZDNet après que LinkedIn ait échoué à corriger le bug une première fois, puis n’ait pas répondu à son courrier électronique plus tard sur la faille affectant les domaines en liste blanche.

LinkedIn a confirmé que le bug a finalement été corrigé jeudi après la divulgation de Cable.

Les paramètres de confidentialité contournés

Il a également développé un code proof-of-concept pour démontrer la faille. Une vulnérabilité XSS dans un site Web de la liste blanche de LinkedIn – que nous ne nommons pas – lui a permis d’exécuter furtivement le code de son propre serveur. La page chargée, un message s’affiche : « Cliquez n’importe où sur la page. » Une boîte de dialogue apparaissait révélant les informations de l’utilisateur.

Comme avec n’importe quelle faille XSS, ces données pourraient être envoyées au serveur d’un acteur malveillant. « Cela expose les informations d’un utilisateur indépendamment de leurs paramètres de confidentialité » précise Cable.

« Par exemple, si je définis mes paramètres de confidentialité pour ne pas afficher mon nom de famille ou mon adresse e-mail et afficher un emplacement général, cela renvoie toujours mon nom complet, mon adresse email et mon code postal. »

Les adresses électroniques ne sont jamais affichées sur les profils LinkedIn – à moins que l’utilisateur ne les affiche lui-même. Cela permet non seulement d’éviter le spam, mais aussi de garantir la sécurité, car les adresses électroniques collectées par le bug AutoFill sont utilisées pour se connecter au site.

LinkedIn AutoFill renvoyait aussi le numéro de téléphone d’un utilisateur s’il était présent, même si le PoC ne l’affichait pas dans le menu contextuel. (Nous avons vérifié en examinant la console JavaScript dans Chrome.)

« Nous avons immédiatement empêché l’utilisation non autorisée de cette fonctionnalité, une fois que nous avons été mis au courant du problème » commente un porte-parole de LinkedIn.

« Bien que nous n’ayons vu aucun signe d’abus, nous travaillons constamment pour assurer la protection des données de nos membres. Nous apprécions le fait qu’un chercheur déclare cela de manière responsable et notre équipe de sécurité continuera à rester en contact avec eux » ajoute le réseau social.

Go to Source


bouton-devis