LinkedIn’de kullanıcıların gizli bilgilerinin çalınmasına olanak tanıyan bir hata keşfedildi.
AutoFill isimli bir eklenti, kullanıcıların diğer web-sitelerine üye olurken LinkedIn profillerindeki isimleri, e-posta adresleri, konumları gibi kişisel bilgileri otomatik olarak doldurmalarını sağlıyor. Bu eklenti sayesinde kullanıcılar hızla yeni üyelikler alabiliyorlar ancak işler burada biraz karışık bir hal almaya başlıyor.
Bu sitelerden XSS hatası alan kullanıcılardan internet korsanları, web sitesinde zararlı bir kod çalıştırarak sitenin LinkedIn’den bu bilgileri almasını ve kendine ulaştırmasını sağlıyor.
LinkedIn bu uygulamayı yalnızca güvenilir sitelerde uygulanmasına izin verirken, hata sebebiyle bu işlem her site için güvenilir olarak gösteriliyor. Günümüzde binlerce site ve uygulama LinkedIn tarafından onaylanmış durumda.
Bu konuda açıklama yapan yetkililer, gerekli iyileştirmelerin yapıldığını, ancak çalınan kullanıcı verileri konusunda birşey yapılamayacağını belirtti.