Saltar al contenido

Se corrigió la fuga de datos de LinkedIn. ¿Pero por cuánto tiempo?

07/11/2020

Un impactante fallo de seguridad fue descubierto recientemente por un investigador de 18 años. Cable Jack. Reveló que los sitios web maliciosos podrían usar sin problemas el botón Autocompletar de LinkedIn para recopilar datos confidenciales de los usuarios. Aún más, demostró cómo la información de un usuario puede exponerse involuntariamente a cualquier sitio web simplemente haciendo clic en cualquier parte de la página web.

“Esto se debe a que el botón Autocompletar podría volverse invisible y abarcar toda la página, haciendo que un usuario haga clic en cualquier lugar para enviar la información del usuario al sitio web”, dijo Cable.

LinkedIn respondió con una declaración rechazando cualquier evidencia de vulnerabilidad y casos de robo de datos de usuarios. LinkedIn respondió asegurando al público que no había signos de abuso e informó al público que la vulnerabilidad había sido eliminada. Sin embargo, Jack Cable está convencido de que los servidores de LinkedIn simplemente no pueden detectar si se abusa de ellos, ya que los piratas informáticos trabajan de forma invisible.

Cómo funciona

En primer lugar, debe comprender los aspectos básicos de un sitio web. Cada sitio web contiene cientos de elementos como imágenes, videos, íconos, botones, lo que sea. Para insertar un fragmento de contenido de otra fuente en una página web, necesitará un elemento web especial llamado iframe.

Por lo tanto, cuando visita un sitio web malicioso, carga el iframe del botón Autocompletar de LinkedIn. No puede verlo porque es invisible y puede ocupar incluso toda la página web. Si hace clic en cualquier parte de la página, LinkedIn lo interpreta como el botón Autocompletar que se presiona y envía la información a través de un servicio especial de mensaje posterior al sitio malicioso. Finalmente, el sitio malicioso decodifica los datos del usuario.

¿Empeorando las cosas? Los sitios web como Twitter, SalesForce y Twilio también usan el formulario Autocompletar y la configuración de privacidad de LinkedIn no controla esto. Incluso si los usuarios han configurado su configuración de privacidad de LinkedIn para ocultar su correo electrónico, número de teléfono u otra información, aún se puede extraer desde el complemento Autocompletar.

Cómo mantenerse seguro

De acuerdo a Seguridad desnuda, LinkedIn ha tomado medidas rápidas y solucionó la laguna el 19 de abril al restringir el complemento a la lista de sitios que tienen permiso para usar Autocompletar.

Sí, Autocompletar de LinkedIn funciona en dominios incluidos en listas blancas para anunciantes aprobados. Sin embargo, aún puede realizar las siguientes acciones para proteger sus datos privados:

  1. Recuerde cerrar sesión en sitios web como LinkedIn cuando haya terminado de usarlos.

  2. Consulte todos los sitios web que haya utilizado. Si ya no los necesita, simplemente elimine sus cuentas y elimine todos sus datos.

Las empresas de tecnología gigantes se enfrentan cada vez a más vulnerabilidades, tanto que los gobiernos ahora se están involucrando para considerar posibles soluciones a este problema. Hasta que no haya una solución viable, es mejor tener cuidado y evitar compartir su información privada tanto como sea posible.