LinkedIn’in otomatik form doldurma eklentisinde açık tespit edildi

Son zamanlarda sosyal medya mecraları kişisel verilerin kullanımı konusunda oldukça sıkıntılı günler yaşarken saldırganlar kişisel bilgileri edinme konusunda yaratıcılıklarını sürdürmeye devam ediyorlar. Her toplanan bilgi parçası saldırganların işini kolaylaştırıyor. Güvenlik araştırmacıları LinkedIn’de bulunan formları kullanıcılar adına otomatik olarak doldurmayı ve işlerini kolaylaştırmayı amaçlayan eklentide bir açık tespit ettiler.

Normalde kullanıcılar karşılarına gelen formu bir düğmeye tıklayarak otomatik olarak doldurabiliyorlar. Düğmeye tıkandığında kullanıcının adı soyadı, e-posta adresi, çalıştığı iş yerindeki görevi ve telefon numarası gibi bilgiler otomatik olarak forma yansıtılıyor.

Ancak kötü niyetli kişiler web sitelerine bu özelliği gizleyerek yerleştiriyor ve bilgilerin forma aktarılmasını sağlayan düğmeyi web sayfasının neresine tıklanırsa tıklansın bu düğme tıklanılacak şekilde yerleştiriyorlar. Bu sayede kullanıcı, web sitesinde herhangi bir yere tıkladığında tüm bilgileri saldırganların veritabanına aktarılıyor. Bu veriler daha sonra saldırganlar tarafından kullanıcıların kredi kartı bilgilerinin alınması gibi çeşitli saldırılar için sosyal mühendislik amaçlı olarak kullanılabiliyor.

Güvenlik açığını 18 yaşındaki Jack Cable tarafından tespit edilmiş. Cable, açığı bulur bulmaz LinkedIn’e bildirmiş ve şirket hemen geçici bir düzeltme hazırlayarak otomatik doldurma özelliğini sadece reklam veren şirketlerin kullanımı ile sınırlamış. Ancak Cable’a göre bu düzeltme yeterli gelmemiş. Cable’a göre otomatik doldurma özelliğini kullanabilen şirketler hala kullanıcı bilgilerini isterlerse izinsiz olarak toplayabiliyor.