Biztonsági hiba veszélyeztette a LinkedIn felhasználóit

A LinkedIn egy meglehetősen veszélyes és könnyen kihasználható biztonsági rést foltozott be. Talán még időben.
 

A közösségi oldalak népszerűsége miatt a kiberbűnözők és a biztonsági kutatók is mind több erőforrást áldoznak arra, hogy a legszélesebb körben használt webes szolgáltatásokban sérülékenységeket tárjanak fel. Egyes vállalatok az etikus biztonsági kutatásokat jutalmazási programokkal is motiválják. Ezek keretében a szakemberek pénzdíjban részesülhetnek akkor, ha mindenkinél korábban - az erre a célra kialakított csatornákon keresztül - jelzik az általuk felfedezett sebezhetőségeket. Egy ilyen hibajelentés érkezett a LinkedInhez is, amely ezúttal példaértű gyorsasággal reagált a felmerült rendellenességre.

A LinkedIn közleménye szerint november 16-án Rohit Dua biztonsági szakértő arról értesítette az üzemeltetőket, hogy egy könnyen kihasználható sérülékenységre akadt. A fejlesztők azonnal kivizsgálták a bejelentést, és megerősítették a hiba létezését. A biztonsági rés befoltozása három órán belül megtörtént, ami egy ekkora rendszer esetében rekordidőnek számít. Egyelőre nincsenek arra utaló jelek, hogy a szóban forgó sebezhetőséget korábban bárki, bármilyen célra kihasználta volna. 

Egy egyszerű sérülékenység 

A Rohit Dua által kimutatott biztonsági rendellenesség XSS (cross-site scripting) kockázatokat vetett fel. A hibát egészen pontosan a Help Center alól elérhető "Start a Discussion" nevű weboldal tartalmazta. Az azon található űrlap egyik beviteli mezőjébe script kódokat is meg lehetett adni, amit a LinkedIn eltárolt. Egy bizonyos szintű ellenőrzés volt a rendszerben, mivel ezen az oldalon a hiba közvetlenül még nem fejtette ki a hatását. Ellenben a bejegyzés elmentése, valamint a saját bejegyzések megtekintése után a korábban megadott script lefutott a böngészőben, ahogy arról az alábbi videó is árulkodik:
A kutató által közzétett videóból látható, hogy semmiféle különösebb trükkre nem volt szükség ahhoz, hogy jogosulatlan kódfuttatásra nyíljon lehetőség. Dua szerint a sebezhetőség különféle online visszaélésekre és adatlopásra adhatott volna lehetőséget, de akár úgynevezett XSS-férgek terjedésének is megalapozhatott volna a LinkedIn fórumoldalain. 

Legyünk jóban a fehérkalapos szakemberekkel

A LinkedIn - hasonlóan sok más vállalathoz - korábban már elindította azt a jutalmazási rendszerét, amelynek keretében pénzdíjat adott a hibabejelentésekért. Azonban e programjának tavalyi felülvizsgálata után változtatott a hozzáállásán, mivel úgy határozott, hogy két pillére helyezi a bejelentések kezelését. Egyrészt meghagyta a lehetőséget arra, hogy e-mailen keresztül bárki beszámoljon a felfedezéseiről. Ugyanakkor a jutalmazási programjának nyilvános státuszát visszavonta, és azt egy jól leszűkített csoport számára tette csak elérhetővé. A vállalat szerint erre azért volt szükség, mert a teljes nyilvánosságot élvező program révén nagyon sok olyan bejelentést kapott, amelyek nem tartalmaztak releváns információkat, ugyanakkor a feldolgozásuk valóban fontos védelmi feladatok elől vette el az időt.