Er zat een bug in LinkedIn, die het wel erg eenvoudig maakte om gegevens te stelen. Het gaat om een bug in de manier waarop LinkedIn automatisch gegevens invult op andere websites, die het mogelijk maakte voor aanvallers om in alle rust gebruiksgegevens buit te maken.

Dat meldt ZDNet vandaag in een artikel over de buig. De kwetsbaarheid werd aangetroffen in de veelgebruikte AutoFill plug-in van LinkedIn. Die staat goedgekeurde websites van derde partijen toe om een koppeling te maken met LinkedIn. Leden van het professionele sociale netwerk kunnen dan automatisch basisinformatie uit hun profiel – waaronder hun naam, mailadres, locatie en werkplek – laten invullen om vervolgens nieuwsbrieven te krijgen van de betreffende sites.

Fout in AutoFill

Deze functie is alleen beschikbaar voor sites die op een whitelist staan, waarvan elke vooraf goedgekeurd is door LinkedIn. Momenteel zijn er tientallen sites die deze goedkeuring hebben, waaronder Twitter, Microsoft en vele anderen. Dat betekent ook meteen dat, door de fout, deze domeinen de profielgegevens zonder toestemming vooraf kunnen ophalen.

“De informatie van een gebruiker kan per ongeluk blootgesteld worden aan een site, door simpelweg ergens op de pagina te klikken,” legt veiligheidsonderzoeker Jack Cable uit over de fout die hij ontdekte. “Dit komt omdat de AutoFill-knop onzichtbaar gemaakt kan worden en de hele pagina kan bedekken. Daardoor kan de informatie over de gebruiker, als deze ergens op de site klikt, verzameld worden.”

Ondertussen is de fout alweer opgelost door LinkedIn. “We hebben, zodra we ons bewust werden van het probleem, meteen het oneigenlijke gebruik van deze functie voorkomen,” legt een woordvoerder van LinkedIn uit. “We hebben geen tekenen van misbruik gezien, maar werken er constant aan om ervoor te zorgen dat de gegevens van onze gebruikers veilig zijn. We waarderen dat de onderzoeker dit gemeld heeft en ons veiligheidsteam zal met hem in contact blijven.”