Facebook [VIDEO]no es el único que está en la mira por la privacidad [VIDEO]de los datos. Un error en LinkedIn en el plugin de Autocompletar que usan los sitios web para permitirte completar formularios rápidamente podría haber permitido a los piratas informáticos robar tu nombre completo, número de teléfono, dirección de correo electrónico, ubicación (código postal), empresa y título de trabajo. Los sitios maliciosos han podido mostrar de forma invisible el complemento en toda su página, por lo que si los usuarios que inician sesión en LinkedIn hacen clic en cualquier lugar, estarían presionando un botón oculto de "Autocompletar con LinkedIn" y renunciando a sus datos.

El investigador Jack Cable descubrió el problema y lo reveló inmediatamente a LinkedIn

La compañía emitió una solución el 10 de abril, pero no informó al público sobre el #problema. Cable informó rápidamente a LinkedIn que su solución, restringía el uso de su función Autocompletar a los sitios incluidos en la lista blanca que pagan a LinkedIn para alojar sus anuncios, aún la dejaba abierta a abusos. Si alguno de esos sitios tiene vulnerabilidades de secuencias de comandos entre sitios, lo que Cable confirmó que algunos hacen, los hackers aún pueden ejecutar Autocompletar en sus sitios mediante la instalación de un iframe en el sitio vulnerable incluido en la lista blanca.

No recibió respuesta de LinkedIn durante los últimos 9 días. LinkedIn le dice que no tiene pruebas de que la #debilidad haya sido explotada para recopilar datos de los usuarios.

Pero Cable dice que "es muy posible que una compañía haya abusado de esto sin el conocimiento de LinkedIn, ya que no enviaría ninguna bandera roja a los servidores de LinkedIn".

Demostró la falla de seguridad en un sitio Cable set up

Pudo mostrarme mi dirección de correo electrónico de registro de LinkedIn con un solo clic en cualquier lugar de la página, sin que yo supiera que estaba interactuando con una versión explotada del complemento de LinkedIn. Incluso si los usuarios han configurado su configuración de Privacidad de #LinkedIn para ocultar su correo electrónico, número de teléfono u otra información, todavía se puede extraer desde el complemento de Autocompletar. "Parece que LinkedIn acepta el riesgo de los sitios web incluidos en la lista blanca (y es parte de su modelo comercial), pero esta es una gran preocupación de seguridad", escribió Cable.