LinkedIn的自动填写插件可能泄漏用户数据，秘密修复失败了

TechCrunch报道了LinkedIn的AutoFill插件中的一个漏洞，该漏洞可能使黑客窃取您的全名，电话号码，电子邮件地址，位置（邮政编码），公司和职位。“恶意网站能够隐秘的在整个页面上呈现插件，因此如果登录LinkedIn的用户在任何地方点击，他们就会有效地点击隐藏的”带LinkedIn自动填充功能“按钮并泄露了他们的数据。” 从报告中可以看到：研究人员Jack Cable于2018年4月9日发现该问题，并立即向LinkedIn报告。该公司在4月10日发布了修正案，但没有通知公众这个问题。

Cable很快就通知LinkedIn，其解决方案限制了Linkedln白名单中付钱打广告的客户网页中AutoFill功能的使用，但却仍然存在用户数据被滥用的风险。如果其中任何一个站点存在跨站脚本漏洞（Cable确认了一些漏洞的存在），黑客仍然可以通过向白名单列出的的网站中比较容易被侵入的那些安装iframe来在其站点上运行自动填充功能。在过去的9天里，他没有得到LinkedIn的回复，因此Cable与TechCrunch联系。 一位LinkedIn发言人向TechCrunch发表声明说：“我们在意识到这个现象存在时就立刻采取措施防止未经授权使用此功能。现在我们正在推出另一个解决方案，以解决其他潜在的数据滥用情况，并且很快就会实施。我们没有看到任何滥用迹象，我们一直在努力确保我们会员的数据得到保护，我们非常感谢研究人员负责任地报告这一情况，我们的安全团队将继续与他们保持联系。需要说明的是，LinkedIn AutoFill功能不是广泛可用的，它只适用于已批准的广告客户的白名单域，允许访问者通过网站选择预先填写其LinkedIn个人资料信息。“