Jetzt auch LinkedIn: Lücke ermöglicht Diebstahl von Personendaten
Nach Facebook kommt jetzt auch Microsofts Karrierenetzwerk Linkedin beim Thema Privatsphäre unter Druck, wenn auch aus anderen Gründen. Wie ein Sicherheitsforscher herausfand, kann ein Bug in Linkedins Autofill-Plugin für Webseiten Hackern Zugriff auf wichtige Personendaten geben, die eigentlich für die Öffentlichkeit nicht sichtbar sein sollten.
Sicherheitsexperte Jack Cable hatte das Problem am 9. April entdeckt und daraufhin umgehend an Linkedin gemeldet. Das soziale Netzwerk implementierte daraufhin einen Tag später einen Fix, sah aber von einer öffentlichen Stellungnahme zu dem Problem ab. Wie Cable in einem Blogbeitrag berichtet, hatte der Fix das Problem zudem nicht beseitigt sondern bestenfalls eingegrenzt.
Da mit Hilfe von "Cross-Site Scripting" dieser Schutz allerdings ausgehebelt werden könne, habe er Linkedin erneut kontaktiert, so Cable. Als Linkedin nach neun Tagen nicht auf seinen neuen Hinweis geantwortet hatte, entschied sich der Sicherheitsforscher dann, das Problem über den Technikblog Techcrunch öffentlich zu machen.
Dass sich das Autofill-Plugin von Linkedin tatsächlich zum Datenklau einsetzen lässt, hat Cable inzwischen durch einen Proof-of-Concept nachgewiesen. Linkedin plant laut Techcrunch in Kürze einen umfassenderen Fix für das Problem. Das Karrierenetzwerk teilte in einem Statement mit, man begrüße das Engagement von Cable und werde im Kontakt mit dem Sicherheitsforscher bleiben. Warum sich Linkedin dann neun Tage lang nicht bei ihm gemeldet hatte, erklärt dies allerdings nicht.
Massenhafter Datenklau möglich
Laut Cable seien Hacker in der Lage, das Plugin-Skript in versteckter Form auf Webseiten zu platzieren, und von seinen Besuchern unbemerkt Daten wie Namen, Telefonnummern, Email-Adressen, Arbeitgeber und den aktuellen Job-Titel abzugreifen. Nachdem Linkedin über das Problem informiert wurde, führte das Netzwerk eine Whitelist ein, sodass seitdem nur noch eigene Werbekunden das Plugin einsetzen können.Da mit Hilfe von "Cross-Site Scripting" dieser Schutz allerdings ausgehebelt werden könne, habe er Linkedin erneut kontaktiert, so Cable. Als Linkedin nach neun Tagen nicht auf seinen neuen Hinweis geantwortet hatte, entschied sich der Sicherheitsforscher dann, das Problem über den Technikblog Techcrunch öffentlich zu machen.
Linkedin beschwichtigt
Linkedin teilte Techcrunch mittlerweile mit, es gebe keine Anzeichen durch einen gezielten Missbrauch der Lücke durch Hacker. Cable sieht dies allerdings völlig anders. "Es ist durchaus möglich, dass ein Unternehmen dies ohne Linkedins Kenntnis ausgenutzt hat, da es keine Warnhinweise auf Linkedins Servern zu Folge gehabt hätte", so der Sicherheitsforscher. Dies erscheint durchaus plausibel. Laut dem deutschen Verfassungsschutz wird Linkedin bereits im großen Stil zur Abschöpfung von Daten genutzt.Dass sich das Autofill-Plugin von Linkedin tatsächlich zum Datenklau einsetzen lässt, hat Cable inzwischen durch einen Proof-of-Concept nachgewiesen. Linkedin plant laut Techcrunch in Kürze einen umfassenderen Fix für das Problem. Das Karrierenetzwerk teilte in einem Statement mit, man begrüße das Engagement von Cable und werde im Kontakt mit dem Sicherheitsforscher bleiben. Warum sich Linkedin dann neun Tage lang nicht bei ihm gemeldet hatte, erklärt dies allerdings nicht.
Thema:
Beliebte Downloads
Videos zum Thema soziale Netzwerke
-
The Social Reckoning: Erster Trailer zum brisanten Facebook-Thriller
-
Super Bowl 2026: Oakley Meta-Brillen halten epische Sportmomente fest
-
Mehr als eine Kamerabrille? Die Ray-Ban-Meta-Smart Glasses im Test
-
Super Bowl 2022: Meta schickt Animatronics ins Metaverse
-
"Schnelle Lacher": Netflix kopiert TikTok und erweitert mobile Apps
Beiträge aus dem Forum
Interessante Links
Neue Nachrichten
- Apple startet iOS 27 Beta 2 und zeigt, was Nutzer ab Herbst erwartet
- Samsung Galaxy Z Flip8, Fold8 & Fold8 Ultra: Infos zu Farben & Speicher
- Weil es sowas noch nicht gab: Redditor erfindet interaktive Mausmatte
- Gears-of-War-Film auf Netflix: Erste Details zur Handlung bekannt
- Dunkle Energie wirkt doch noch: Universum dehnt sich ungebremst aus
- World of ClaudeCraft: KI baut in zwei Tagen MMORPG für nur 200 Dollar
- Tankstellen wegen illegaler KI-gesteuerter Preisabsprachen verklagt
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen