LinkedIn的AutoFill遭爆有漏洞，可能外洩用戶資料

資安研究人員Jack Cable在本月發現LinkedIn所開發的AutoFill外掛程式含有安全漏洞，將會曝露用戶的個人資訊，而LinkedIn則已於本周修補完畢。

由LinkedIn所開發的AutoFill外掛程式原本是方便該站的付費廣告客戶於自己的網站上嵌入一個AutoFill按鍵，以讓造訪該站的LinkedIn用戶直接帶入存於LinkedIn上的會員資料，包含姓名、電子郵件、電話號碼、所在地或職務等。

Cable說，儘管LinkedIn宣稱該功能只供被列入白名單的第三方網站使用，但他卻發現任何網站都能使用AutoFill外掛程式，而且可以將外掛程式隱藏在網頁中，使用者只要點擊該網頁，個人資料就會被傳送至該站而不自知。

Cable在4月9日通知了LinkedIn安全團隊，該團隊隔天即提供暫時性的修補，嚴格限制只有被列於白名單中的可靠網站才能存取AutoFill。然而，Cable指出，就算AutoFill只供白名單網站使用，若這些網站含有跨站指令碼（Cross-site Scripting, XSS）漏洞，LinkedIn用戶的資料仍然不保。而Cable的確找到了LinkedIn白名單網站中含有XSS漏洞的例子。

於是LinkedIn本周再度更新了AutoFill，當使用者點選第三方網站的AutoFill按鍵時，會跳出提醒視窗，確認使用者的分享意願，以免使用者資料被暗中截取。LinkedIn則說，迄今並無任何證據顯示此一機制曾被濫用。