Facebook no es el único en el banquillo de los acusados por la privacidad de los datos. Una falla en el complemento Autocompletar de LinkedIn que los sitios web usan para permitirle completar formularios rápidamente podría haber permitido a los piratas informáticos robar su nombre completo, número de teléfono, dirección de correo electrónico, código postal, empresa y cargo. Los sitios maliciosos han podido representar el complemento de manera invisible en toda su página, por lo que si los usuarios que están conectados a LinkedIn hacen clic en cualquier lugar, estarían presionando un botón oculto “Autocompletar con LinkedIn” y entregando sus datos.
Investigador Cable conector descubrió el problema el 9 de abril de 2018 e inmediatamente lo comunicó a LinkedIn. La compañía emitió una solución el 10 de abril, pero no informó al público sobre el problema. Cable informó rápidamente a LinkedIn que su solución, que restringía el uso de su función de Autocompletar a los sitios incluidos en la lista blanca que pagan a LinkedIn para alojar sus anuncios, aún lo dejaba abierto al abuso. Si alguno de esos sitios tiene vulnerabilidades de secuencias de comandos entre sitios, lo que Cable confirmó que algunos tienen, los piratas informáticos aún pueden ejecutar Autocompletar en sus sitios instalando un iframe en el sitio vulnerable incluido en la lista blanca. No obtuvo respuesta de LinkedIn durante los últimos nueve días, por lo que Cable se comunicó con TechCrunch.
Herramienta Autocompletar de LinkedIn
LinkedIn le dice a TechCrunch que no tiene evidencia de que la debilidad haya sido explotada para recopilar datos de usuarios. Pero Cable dice que “es muy posible que una empresa haya estado abusando de esto sin el conocimiento de LinkedIn, ya que no enviaría ninguna señal de alerta a los servidores de LinkedIn”.
Hice una demostración de la falla de seguridad en un sitio que instaló Cable. Pudo mostrarme mi dirección de correo electrónico de registro de LinkedIn con un solo clic en cualquier parte de la página, sin que yo supiera que estaba interactuando con una versión explotada del complemento de LinkedIn. Incluso si los usuarios han configurado su configuración de privacidad de LinkedIn para ocultar su correo electrónico, número de teléfono u otra información, aún se puede extraer del complemento Autocompletar.
“Parece que LinkedIn acepta el riesgo de los sitios web incluidos en la lista blanca (y es parte de su modelo de negocio), pero este es un problema de seguridad importante”, escribió Cable a TechCrunch. [Update: He’s now posted a detailed write-up of the issue.]
Un portavoz de LinkedIn emitió esta declaración a TechCrunch, diciendo que planea implementar una solución más completa en breve:
Inmediatamente evitamos el uso no autorizado de esta función, una vez que nos enteramos del problema. Ahora estamos impulsando otra solución que abordará posibles casos de abuso adicionales y estará disponible en breve. Si bien no hemos visto signos de abuso, trabajamos constantemente para garantizar que los datos de nuestros miembros permanezcan protegidos. Agradecemos que el investigador haya informado esto de manera responsable y nuestro equipo de seguridad continuará en contacto con ellos.
Para mayor claridad, LinkedIn AutoFill no está ampliamente disponible y solo funciona en dominios incluidos en la lista blanca para anunciantes aprobados. Permite a los visitantes de un sitio web elegir rellenar previamente un formulario con información de su perfil de LinkedIn.
Facebook ha soportado recientemente un intenso escrutinio con respecto a la privacidad y la seguridad de los datos, y ayer confirmó que estaba investigando un problema con rastreadores de JavaScript no autorizados que extraían información de los usuarios de los sitios que utilizan Iniciar sesión con Facebook.
Pero los hallazgos de Cable demuestran que otros gigantes tecnológicos también merecen un mayor escrutinio. En un esfuerzo por colonizar la web con sus botones y recopilar más datos sobre sus usuarios, sitios como LinkedIn han jugado rápido y suelto con la información de identificación personal de las personas.
La investigación muestra cómo confiar en las listas blancas de sitios de terceros no siempre resuelve un problema. Todo lo que se necesita es que uno de esos sitios tenga su propia falla de seguridad, y se puede aprovechar una vulnerabilidad mayor. Más de 70 de los principales sitios web del mundo estaban en la lista blanca de LinkedIn, incluidos Twitter, Stanford, Salesforce, Edelman y Twilio. OpenBugBounty muestra la prevalencia de problemas de secuencias de comandos entre sitios. Estas vulnerabilidades “XSS” representaron el 84 por ciento de las fallas de seguridad documentado por Symantec en 2007, y el servicio de recompensas por errores HackerOne define XSS como un problema masivo para este día.
Con todos los ojos puestos en la seguridad, es posible que las empresas de tecnología deban ser más receptivas a los investigadores que señalan fallas. Si bien LinkedIn inicialmente se movió rápidamente, su atención al problema se desvaneció mientras solo había una solución rota. Mientras tanto, los funcionarios gubernamentales que consideren la regulación deben centrarse en fortalecer los requisitos de divulgación para las empresas que descubren infracciones o vulnerabilidades. Si saben que tendrán que avergonzarse al informar al público sobre sus fallas de seguridad, podrían esforzarse más para mantener todo bien cerrado.