Jetzt auch LinkedIn: Lücke ermöglicht Diebstahl von Personendaten

Netzwerk, Linkedin, Business Network Bildquelle: LinkedIn
Nach Facebook kommt jetzt auch Microsofts Karrierenetzwerk Linkedin beim Thema Privatsphäre unter Druck, wenn auch aus anderen Gründen. Wie ein Sicherheitsforscher herausfand, kann ein Bug in Linkedins Au­to­fill-Plugin für Webseiten Hackern Zugriff auf wichtige Personendaten ge­ben, die eigentlich für die Öffentlichkeit nicht sichtbar sein sollten. Sicherheitsexperte Jack Cable hatte das Problem am 9. April entdeckt und daraufhin um­ge­hend an Linkedin gemeldet. Das soziale Netzwerk implementierte daraufhin einen Tag später einen Fix, sah aber von einer öffentlichen Stellungnahme zu dem Problem ab. Wie Cable in einem Blogbeitrag berichtet, hatte der Fix das Problem zudem nicht beseitigt sondern bes­ten­falls eingegrenzt.

Massenhafter Datenklau möglich

Laut Cable seien Hacker in der Lage, das Plugin-Skript in versteckter Form auf Webseiten zu platzieren, und von seinen Besuchern unbemerkt Daten wie Namen, Telefonnummern, Email-Adressen, Arbeitgeber und den aktuellen Job-Titel abzugreifen. Nachdem Linkedin über das Problem informiert wurde, führte das Netzwerk eine Whitelist ein, sodass seitdem nur noch eigene Werbekunden das Plugin einsetzen können.

Da mit Hilfe von "Cross-Site Scripting" dieser Schutz allerdings ausgehebelt werden könne, habe er Linkedin erneut kontaktiert, so Cable. Als Linkedin nach neun Tagen nicht auf seinen neuen Hinweis geantwortet hatte, entschied sich der Sicherheitsforscher dann, das Problem über den Technikblog Techcrunch öffentlich zu machen.

Linkedin beschwichtigt

Linkedin teilte Techcrunch mittlerweile mit, es gebe keine Anzeichen durch einen gezielten Miss­brauch der Lücke durch Hacker. Cable sieht dies allerdings völlig anders. "Es ist durchaus möglich, dass ein Unternehmen dies ohne Lin­ked­ins Kenntnis ausgenutzt hat, da es keine Warnhinweise auf Linkedins Servern zu Folge gehabt hätte", so der Sicherheitsforscher. Dies erscheint durchaus plausibel. Laut dem deut­schen Verfassungsschutz wird Linkedin bereits im großen Stil zur Abschöpfung von Daten ge­nutzt.

Dass sich das Autofill-Plugin von Linkedin tatsächlich zum Datenklau einsetzen lässt, hat Cable inzwischen durch einen Proof-of-Concept nachgewiesen. Linkedin plant laut Techcrunch in Kürze einen umfassenderen Fix für das Problem. Das Karrierenetzwerk teilte in einem State­ment mit, man begrüße das Engagement von Cable und werde im Kontakt mit dem Sicherheitsforscher bleiben. Warum sich Linkedin dann neun Tage lang nicht bei ihm ge­mel­det hatte, erklärt dies allerdings nicht. Netzwerk, Linkedin, Business Network Netzwerk, Linkedin, Business Network LinkedIn
Mehr zum Thema: Soziale Netzwerke
Diese Nachricht empfehlen
Kommentieren1
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Tipp einsenden