Ajouter un commentaire

Une faille LinkedIn permettait de voler vos données

Par:
fredericmazue

lun, 23/04/2018 - 16:16

Depuis l'affaire Cambridge Analytica qui touche Facebook, ce réseau social est regardé de plus en plus suspicieusement. Mais il n'y a pas qu'à travers Facebook que vos données personnellement peuvent être volées. Les autres réseaux sociaux ne sont pas forcément beaucoup plus précautionneux.

Ainsi le 9 avril dernier, un chercheur du nom de Jack Cable a identifié une faille touchant le réseau social LinkedIn. La faille permettait potentiellement à des hackers de voler vos informations personnelles : votre nom, votre numéro de téléphone, votre adresse e-mail, votre adresse postale, le nom de votre entreprise, etc. C'est à travers le bouton AutoFill, qui permet de remplir automatiquement des formulaires sur certains sites web, que les données pouvaient être volées.

Normalement les sites web pouvant mettre en oeuvre le bouton AutoFill appartient à une liste blanche, mais Jack Cable a démontré qu'en fait n'importe quel site pouvait abuser du bouton.

Averti par Jack Cable, LinkedIn a corrigé cette faille. A moitié...

Car Jack Cable a également démontré que même un site appartenant à cette liste blanche, pouvait servir à voler des données, pour peu que ce site comporte lui-même une faille XSS rendant possible l'injection d'un iframe.

Sur ce dernier point LinkedIn n'a pas réagi, jusqu'à que Jack Cable rende l'affaire publique en contactant Techcrunch. Ce n'est qu'à partir de ce moment que LinkedIn a corrigé totalement la vulnérabilité.

Filtered HTML

Plain text

CAPTCHA
Cette question permet de vérifier que vous n'êtes pas un robot spammeur :-)
 U   U  W     W  L      AA   FFFF 
U U W W L A A F
U U W W W L AAAA FFF
U U W W W L A A F
UUU W W LLLL A A F