示意圖,與新聞事件無關。

圖片來源: 

LinkedIn

資安研究人員Jack Cable在本月發現LinkedIn所開發的AutoFill外掛程式含有安全漏洞,將會曝露用戶的個人資訊,而LinkedIn則已於本周修補完畢。

由LinkedIn所開發的AutoFill外掛程式原本是方便該站的付費廣告客戶於自己的網站上嵌入一個AutoFill按鍵,以讓造訪該站的LinkedIn用戶直接帶入存於LinkedIn上的會員資料,包含姓名、電子郵件、電話號碼、所在地或職務等。

Cable說,儘管LinkedIn宣稱該功能只供被列入白名單的第三方網站使用,但他卻發現任何網站都能使用AutoFill外掛程式,而且可以將外掛程式隱藏在網頁中,使用者只要點擊該網頁,個人資料就會被傳送至該站而不自知。

Cable在4月9日通知了LinkedIn安全團隊,該團隊隔天即提供暫時性的修補,嚴格限制只有被列於白名單中的可靠網站才能存取AutoFill。然而,Cable指出,就算AutoFill只供白名單網站使用,若這些網站含有跨站指令碼(Cross-site Scripting, XSS)漏洞,LinkedIn用戶的資料仍然不保。而Cable的確找到了LinkedIn白名單網站中含有XSS漏洞的例子。

於是LinkedIn本周再度更新了AutoFill,當使用者點選第三方網站的AutoFill按鍵時,會跳出提醒視窗,確認使用者的分享意願,以免使用者資料被暗中截取。LinkedIn則說,迄今並無任何證據顯示此一機制曾被濫用。


Advertisement

更多 iThome相關內容