Cuidado si usas LinkedIn, un fallo puede permitir el robo de tus datos

Escrito por Rubén Velasco

En las últimas semanas Facebook ha estado en boca de millones de usuarios tras el descubrimiento de un uso indebido de los datos personales de más de 50 millones de usuarios de todo el mundo por parte de Cambridge Analytica. Sin embargo, esta no es ni de lejos la única compañía que suspende a la hora de proteger los datos de los usuarios para brindarles un grado de privacidad, y es que recientemente otra red social ha estado poniendo en peligro los datos de sus usuarios debido a un fallo de seguridad: LinkedIn.

Investigadores de seguridad de Lightning Security acaban de dar a conocer un fallo de seguridad en el plugin de AutoFill de esta red social. Este fallo de seguridad se podía explotar muy fácilmente y podía permitir a un pirata informático recopilar todo tipo de información sobre los usuarios, como, por ejemplo, nombre completo, teléfono, correo, código postal, compañía en la que trabaja y el puesto que ocupa en dicha compañía.

AutoFill es un plugin de LinkedIn que nos permite rellenar automáticamente formularios utilizando la información de esta red social, permitiéndonos ahorrar tiempo en registros al no tener que introducir todos estos datos manualmente uno a uno.

Para explotar esta vulnerabilidad, un usuario con malas intenciones podría hacer que un usuario pulse un botón oculto de este plugin en una página web creada para este fin de manera que, en cuanto el usuario pulse sobre este botón (probablemente transparente encima de un enlace o botón), automáticamente se recopilen sus datos de LinkedIn y pasen a formar parte de una base de datos que después puede venderse o utilizarse con otras intenciones más preocupantes.

linkedin auto fill

Microsoft asegura haber solucionado ya el fallo de seguridad en el plugin AutoFill de LinkedIn

En cuanto este fallo de seguridad fue puesto en conocimiento de Microsoft la compañía no tardó en poner remedio para evitar que usuarios malintencionados pudieran aprovecharse de este plugin para recopilar datos privados de los usuarios. La compañía asegura además que no hay indicios de que este fallo de seguridad haya sido explotado en la red, ya que los investigadores de seguridad lo reportaron en privado a la compañía para evitar darlo a conocer antes de ser corregido.

AutoFill ahora solo funcionará basándose en una lista blanca de dominios para los que sí facilitará información, dominios que deben ser verificados por Microsoft antes de poder utilizar la API de este plugin.

¿Qué opinas de este fallo de seguridad en LinkedIn? ¿Crees que los responsables de las redes sociales siguen sin tomarse en serio la seguridad y privacidad?

Fuente > techcrunch