Microsoft şirketi bünyesinde faaliyetlerine devam eden dünyanın en büyük profesyonel sosyal ağı LinkedIn’de kullanıcıların gizli profil bilgilerinin çalınmasına olanak tanıyan bir açık keşfedildiği haberi geldi.
LinkedIn tarafından geliştirilen AutoFill isimli eklenti sayesinde, LinkedIn kullanıcıları diğer sitelere üye olurken LinkedIn profillerinde bulunan isimleri, e-posta adresleri, konumları ve işleri gibi basit bilgileri otomatik olarak doldurmalarını sağlamakta. Bu eklenti sayesinde kullanıcıların hızla yeni üyelikler alabiliyor.
LinkedIn bu eklentinin yalnızca güvenilir sitelerde uygulanmasına kullanım izni veriyor ve her bir siteyi tek tek onaylıyor. Günümüzde ise binlerce site ve uygulama LinkedIn şirketi tarafından onaylanmış durumda.
Bu sitelerin arasından XSS hatasına sahip olanlar ise siber korsanlara web sitesinde kullanıcılara yönelik zararlı bir kod çalıştırarak sitenin LinkedIn’den bu bilgileri almasını ve kendine ulaştırmasını amaçlıyor.
Lightning Security siber konularla ilgili güvenlik şirketinden Jack Cable, şu ana kadar bir sitenin böyle bir tuzağa alet olduğunu vurgusunu yaptı. “Kullanıcıların verileri sitede herhangi bir yere tıklamaları durumunda istekleri dışında paylaşılıyor.” diyen Cable şöyle bir açıklamada bulundu: “Bunun sebebi AutoFill eklentisinin tüm siteyi kaplayacak şekilde ve görünmez tasarlanmış olması. Bu nedenle herhangi bir yere tıklandığı an fonksiyon devreye girmekte.”
LinkedIn, Cable’ın hatayı ortaya çıkarmasının hemen akabinde gerekli hata giderme çalışmalarının yapıldığını ve bu fark edilmeyen hatanın artık siber korsanlar tarafından hiçbir şekilde kullanılamayacağının altını çizerek vurguladı.
Son Dakika Teknoloji Haberleri için aşağı kaydırın.