Un fallo en LinkedIn ha permitido que roben toda tu información privada

Software

Facebook no es la única red social con problemas de seguridad, ni mucho menos. La compañía de Mark Zuckerberg sigue pasando por la crisis de Cambridge Analytica por ofrecer a terceros el uso del botón ‘login con Facebook’Y en esto tampoco tienen la exclusiva, y otras como Twitter, Google + o LinkedIn ofrecen exactamente la misma función. Precisamente por ello, LinkedIn, la red social para el mundo laboral, ha experimentado un grave fallo que ha permitido que los atacantes puedan robar todos tus datos privados, así como evidentemente la información pública de tu perfil en este servicio.

Son varias las redes sociales que aceptan la posibilidad de que terceros utilicen la información de los usuarios que ellos tienen registrada como forma de registro. Es decir, que ‘Pepito’ se puede servir de Facebook para que tú te registres en el servicio de ‘Pepito’ con los datos que Facebook tiene sobre ti. No debería suponer ningún problema esto, pero sí lo ha supuesto en el caso de la red social de Mark Zuckerberg, porque ha servido para robar información de millones usuarios, y el problema que se ha encontrado en la red social LinkedIn pone de manifiesto exactamente lo mismo. Un tipo de ataque en el que este ‘puente’ se utiliza de forma maliciosa, para robar datos de los usuarios de la red social.

Este fallo de LinkedIn ha permitido que terceros roben tus datos privados de una forma similar a lo que ocurrió con Facebook

Básicamente, el botón Autocompletar con LinkedIn se ha podido utilizar de manera maliciosa. ¿Cómo? Utilizándolo en un diseño invisible, y ocupando toda la pantalla de un determinado site. De esta manera, has podido pulsar el botón para permitir el ‘volcado’ de datos, y ni siquiera te has dado cuenta, porque el botón en cuestión era invisible. Es decir, que el problema de seguridad está en que el botón se ha podido cambiar de estilo para que los usuarios no percibieran que estaban pulsando sobre él. Eso, y que se ha podido abusar de la API de LinkedIn para el login en sites y servicios de terceros.

Afortunadamente, en LinkedIn han respondido de forma rápida, y en tan solo 24 horas desde que fue notificado se solucionó. Lo que se desconoce es a cuántos usuarios ha podido afectar este problema de seguridad que, en realidad, es parecido al de Facebook.

Escrito por Carlos González

Fuente > The Hacker News