Facebookはプライバシー制限や10億人近くのユーザーデータの悪用で打撃を受けているが、この困難な状況でもなんとか存続しようと努めているソーシャルネットワークもある。ホワイトハッカーの Jack Cable は、 LinkedIn の AutoFill 機能に欠陥を発見しました。この欠陥により、悪意のある攻撃者や Web サイトがユーザーの許可や情報さえもなしに情報を抽出できるようになります 。
Cable によると、クロスサイト スクリプティング (XSS) により、他の特定のサイトが LinkedIn ユーザーが手間をかけずに求人応募情報に情報を入力できるようにする ために使用されている AutoFill プラグインに脆弱性が存在します。これには、名前、電話番号、電子メール ID、住所、郵便番号、職歴などのさまざまな情報が含まれます。 オートフィル機能は、LinkedIn によってホワイトリストに登録されているサイトでのみ利用できます が、管理者がこの機能と引き換えに行う必要があるのは、LinkedIn 上の広告料金を支払うことだけであるため、Web サイトをホワイトリストに登録するのは非常に簡単です。
Cable は 4 月 9 日にこの脆弱性について LinkedIn に通知し、同社は翌日に修正を約束したが、実際に修正したと TechCrunch が報じている。しかし、そのような脅威が存在したことは公表されていませんでした。
それでもケーブル氏は別の攻撃の可能性を指摘した。ホワイトリストに登録された Web サイトは依然として脆弱である可能性があり、 ハッカーがターゲット Web サイトに iframe をインストールする可能性があります。 これにより、選択した任意の場所で自動入力されたデータを受け取ることができます。個人に自動入力データを送信させるのは、iframe 内の任意の場所をクリックさせるのと同じくらい簡単です。
最初のやり取りから 1 週間以上にわたって Microsoft 所有の LinkedIn から応答がなかった後、Cable は TechCrunch を通じてソーシャル ネットワークに連絡を取りました。
LinkedInはこの出版物に対し、「 潜在的なさらなる悪用ケースに対処する別の修正を現在進めている 」と返答したが、そのような攻撃の可能性は非常に低いと主張した。
「 LinkedIn はホワイトリストに登録された Web サイトのリスクを受け入れているようですが (これはビジネス モデルの一部です)、それでもこれは重大なセキュリティ上の懸念です 」と Cable 氏は自身の Web サイトで この問題について詳しく 書いています。
![2021 年に Raspberry Pi Web サーバーをセットアップする方法 [ガイド]](https://i0.wp.com/pcmanabu.com/wp-content/uploads/2019/10/web-server-02-309x198.png?w=1200&resize=1200,0&ssl=1)
