Linkedin Fallo Plugin Autofill

Actualmente, LinkedIn ha crecido mucho, y no es extraño que las empresas observen el perfil de una persona en esta red social antes de contratarlo, por lo que todos los usuarios colocan información importante y veraz en su perfil; debido a la gran cantidad de datos personales que se comparten, podríamos pensar que tal vez LinkedIn está velando por la seguridad de los mismos, pero tal parece que no es así. Por lo que ahora LinkedIn, al igual que Facebook, se une a la lista de aplicaciones vulnerables.

Un análisis realizado por el reconocido investigador Jack Cable,  de Lightning Security, arrojó un fallo de seguridad en AutoFill, un complemento de LinkedIn que permite autocompletar formularios rápidamente.

Según Cable, esto representa una vulnerabilidad ya que, cualquier “usuario malintencionado” podría robar tus datos personales como: nombre completo, número de teléfono, dirección de correo electrónico, código postal, el nombre de la empresa y desde luego el puesto de trabajo que ocupa el usuario.

Pero ¿Cómo funciona?

De acuerdo con el investigador, los sitios maliciosos han podido mostrar el plugin de forma invisible en toda su página, de manera que, si los usuarios que inician sesión en LinkedIn hacen clic en cualquier lugar, estarían presionando un botón oculto de “Autocompletar con LinkedIn” otorgándole todos los datos de acceso a los piratas informáticos.

Este fallo fue descubierto por Cable el 9 de abril de 2018, e inmediatamente notificó a Microsoft de este inconveniente. La compañía emitió una solución el 10 de abril,  para evitar que se aprovechen de este plugin.

La solución planteada por la empresa es que esta permitirá el autocompletado a los sitios incluidos en la lista blanca, es decir, aquellas empresas que pagan a LinkedIn para alojar sus anuncios, esto como medida de prevención, sin embargo, Cable asegura que esto no solventa el inconveniente.

Como LinkedIn no le respondió a Cable sobre su hallazgo, el investigador de 18 años contactó a TechCrunch, a quienes escribió: “Parece que LinkedIn acepta el riesgo de los sitios web incluidos en la lista blanca (y es parte de su modelo comercial), pero esta es una gran preocupación de seguridad”, la actualización completa la puedes ver aquí.

Por su parte, la compañía asegura que esta debilidad no ha sido explotada a nivel global. No obstante, afirman que seguirán trabajando por la seguridad de los datos de los usuarios.

Más en TekCrispy