Son varias las redes sociales que aceptan la posibilidad de que terceros utilicen la información de los usuarios que ellos tienen registrada como forma de registro. Es decir, que ‘Pepito’ se puede servir de Facebook para que tú te registres en el servicio de ‘Pepito’ con los datos que Facebook tiene sobre ti. No debería suponer ningún problema esto, pero sí lo ha supuesto en el caso de la red social de Mark Zuckerberg, porque ha servido para robar información de millones usuarios, y el problema que se ha encontrado en la red social LinkedIn pone de manifiesto exactamente lo mismo. Un tipo de ataque en el que este ‘puente’ se utiliza de forma maliciosa, para robar datos de los usuarios de la red social.
Este fallo de LinkedIn ha permitido que terceros roben tus datos privados de una forma similar a lo que ocurrió con Facebook
Básicamente, el botón Autocompletar con LinkedIn se ha podido utilizar de manera maliciosa. ¿Cómo? Utilizándolo en un diseño invisible, y ocupando toda la pantalla de un determinado site. De esta manera, has podido pulsar el botón para permitir el ‘volcado’ de datos, y ni siquiera te has dado cuenta, porque el botón en cuestión era invisible. Es decir, que el problema de seguridad está en que el botón se ha podido cambiar de estilo para que los usuarios no percibieran que estaban pulsando sobre él. Eso, y que se ha podido abusar de la API de LinkedIn para el login en sites y servicios de terceros.
Afortunadamente, en LinkedIn han respondido de forma rápida, y en tan solo 24 horas desde que fue notificado se solucionó. Lo que se desconoce es a cuántos usuarios ha podido afectar este problema de seguridad que, en realidad, es parecido al de Facebook.
Fuente: The Hacker News | adslzone
