学习+ 分享
掌握科技改变生活

领英(LinkedIn)的自动填充插件可能会泄漏了你的私人数据

领英在其他网站上自动填充的数据可能会让攻击者悄悄窃取用户配置文件数据。这个漏洞在LinkedIn广泛使用的AutoFill插件中找到,该插件允许获得批准的第三方网站让LinkedIn成员自动从其个人资料中填写基本信息 – 例如他们的姓名,电子邮件地址,位置以及他们工作的地方 – 作为快速注册网站或接收电子邮件简讯。据ZDNet报道,一位安全研究人员发现,如果使用该功能的站点容易受到跨站点脚本攻击,LinkedIn的AutoFill插件容易泄漏成员数据,包括名称,电子邮件地址,位置,电话号码和工作位置。

LinkedIn将这个功能限制在一小部分批准的网站上,但ZDNet报告说至少有一个这样的网站确实容易受到这种攻击,允许安全研究Jack Cable仅通过点击用户点击主要网站的网页。

“用户的信息可以不愿意通过点击页面上的某个地方而暴露于任何网站,”Cable说。“这是因为自动填充按钮可能会变得不可见并跨越整个页面,导致用户点击任何位置将用户的信息发送到网站。”

“这暴露了用户的信息,无论他们的隐私设置如何,”Cable说。“例如,如果我将我的隐私设置设置为不显示我的姓氏或电子邮件地址并显示一般位置,则仍会返回我的全名,电子邮件地址和邮政编码。”

有线电视发布了漏洞利用的消息,因为LinkedIn首次未能修复该漏洞,之后Cable没有回应。

LinkedIn现在终于行动并修复了漏洞,并回应说:

“一旦我们意识到问题,我们立即阻止未经授权使用此功能。尽管我们没有发现任何滥用迹象,但我们一直在努力确保我们会员的数据得到保护。我们非常感谢研究人员负责任地报告这一情况,我们的安全团队将继续与他们保持联系。“

LinkedIn于2016年12月由微软收购。

赞(0) 打赏
转载请注明来源:千眼网 » 领英(LinkedIn)的自动填充插件可能会泄漏了你的私人数据
分享到: 更多 (0)

评论 2

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #2
    Safari 11.0 Safari 11.0 iPhone iOS 11.2.6 iPhone iOS 11.2.6

    你好

    yy4个月前 (04-21)回复
  2. #1
    Safari 11.0 Safari 11.0 iPhone iOS 11.2.6 iPhone iOS 11.2.6

    好文

    yy4个月前 (04-21)回复

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏