ΑρχικήSecurityΔιαρροή ευαίσθητων πληροφορίων στο Linkedin εξαιτίας ευπάθειας

Διαρροή ευαίσθητων πληροφορίων στο Linkedin εξαιτίας ευπάθειας

Μια ευπάθεια στη λειτουργικότητα AutoFill της πλατφόρμας του Linkedin, η οποία ανακαλύφθηκε πρόσφατα, μπορεί να διαρρεύσει ευαίσθητες πληροφορίες των χρηστών σε ιστοσελίδες τρίτων χωρίς εκείνοι να το γνωρίζουν.

Το plugin Autofill που παρέχεται από το Linkedin επιτρέπει την γρήγορη συμπλήρωση των προσωπικών στοιχείων του χρήστη μέσω ενός κλικ.

Σε γενικές γραμμές, το “AutoFill with Linkedin” button, που απεικονίζεται και παραπάνω, απευθύνεται μόνο σε ειδικά “whitelisted websites” αλλά ο 18χρονος ερευνητής ασφαλείας Jack Cable της Lightning Security δήλωσε ότι τελικά τα πράγματα δεν είναι τόσο αθώα όσο νομίζαμε.

#secnews #solarstorm #hurricane 

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #solarstorm #hurricane

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Lmg4VGJwLS1OZnFR

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα

SecNewsTV 14 hours ago

Ο Jack Cable ανακάλυψε ότι το χαρακτηριστικό αυτό έρχεται μαζί με μια ευπάθεια που επιτρέπει στον οποιοδήποτε ιστότοπο να συλλέξει δεδομένα από τα προφίλ των χρηστών, χωρίς εκείνοι να το καταλάβουν.

Σύμφωνα με τον ερευνητή, ένας επιτιθέμενος θα μπορούσε να χρησιμοποιήσει την λειτουργία “AutoFill” σε κάθε σημείο του ιστοτόπού του, αλλάζοντας τις ιδιότητες του σχετικού button, και στη συνέχεια μετατρέποντας τo σε αόρατo, όπως θα αναλύσουμε και στη συνέχεια. Από τη στιγμή που οι χρήστες δεν μπορούν να δουν το κουμπί συμπλήρωσης κάνουν κλικ οπουδήποτε πάνω στην οθόνη αποστέλλοντας έτσι όλα τα δεδομένα τους στον hacker.Linkedin
Τρόπος εκμετάλλευσης της ευπάθειας

Ο χρήστης επισκέπτεται τον κακόβουλο ιστότοπο ο οποίος φορτώνει το iframe του AutoFill Button. Το iframe έχει σχεδιαστεί με τέτοιο τρόπο ώστε να καλύπτει ολόκληρη τη σελίδα και παράλληλα να είναι αόρατo για τον χρήστη. Με τον τρόπο αυτό, εάν ο χρήστης κάνει κλικ οπουδήποτε πάνω στη σελίδα, το LinkedIn ερμηνεύει αυτή την ενέργεια ως πάτημα του κουμπιού AutoFill, στέλνοντας τα δεδομένα των χρηστών στον κακόβουλο ιστότοπο, μέσω της postMessage.

Ο Cable ανακάλυψε την ευπάθεια στις 9 Απριλίου και την γνωστοποίησε άμεσα στο LinkedIn. Η εταιρεία από πλευράς της, εξέδωσε μια προσωρινή διόρθωση χωρίς να ενημερώσει τους χρήστες σε ποια λειτουργία αφορά.

Η λύση απλώς περιόρισε τη χρήση της λειτουργίας AutoFill μόνο σε whitelisted websites, ενώ ο ερευνητής ασφαλείας ισχυρίστηκε ότι η ενημέρωση ήταν ελλιπής και εξακολουθούσε να επιτρέπει την κατάχρηση του AutoFill.

 

spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS