原标题:LinkedIn的AutoFill遭爆有漏洞,可能外泄用户资料
示意图,与新闻事件无关。
图片来源:资安研究人员Jack△Cable在本月发现LinkedIn所开发的AutoFill外挂程式含有安全漏洞,将会曝露用户的个人资讯,而LinkedIn则已于本周修补完毕。
由LinkedIn所开发的AutoFill外挂程式原本是方便该站的付费广告客户于自己的网站上嵌入一个AutoFill按键,以让造访该站的LinkedIn用户直接带入存于LinkedIn上的会员资料,包含姓名、电子邮件、电话号码、所在地或职务等。
Cable说,尽管LinkedIn宣称该功能只供被列入白名单的第三方网站使用,但他却发现任何网站都能使用AutoFill外挂程式,而且可以将外挂程式隐藏在网页中,使用者只要点击该网页,个人资料就会被传送至该站而不自知。
Cable在4月9日通知了LinkedIn安全团队,该团队隔天即提供暂时性的修补,严格限制只有被列于白名单中的可靠网站才能存取AutoFill。然而,Cable指出,就算AutoFill只供白名单网站使用,若这些网站含有跨站指令码(Cross-site△Scripting, XSS)漏洞,LinkedIn用户的资料仍然不保。而Cable的确找到了LinkedIn白名单网站中含有XSS漏洞的例子。
于是LinkedIn本周再度更新了AutoFill,当使用者点选第三方网站的AutoFill按键时,会跳出提醒视窗,确认使用者的分享意愿,以免使用者资料被暗中截取。LinkedIn则说,迄今并无任何证据显示此一机制曾被滥用。
相关:
在公共场所用电脑帮iPhone充电要小心!手机上的敏感资料可能不知不觉被偷了
图片来源: Symantec 赛门铁克在RSA会议上面揭露,iOS装置存在Trustjacking漏洞,骇客能误导使用者信任恶意电脑,授予骇客iOS装置的控制权,而骇客之后便能以iTunes△Wi-Fi同步功能,持续的远端控制该装置。目前Apple
示意图,与新闻事件无关。 图片来源: Facebook 路透社于本周报道,为了减轻欧盟GDPR个资法可能带来的冲击,脸书(Facebook)将把原本隶属于爱尔兰国际总部管辖的15亿名用户移出欧盟管辖区,下个月起这些用户的服务
图片来源: FoundationDB 苹果于本周四(4/19)开源了分散式资料库FoundationDB核心,号召开源社交一同建立更多的FoundationDB应用层与功能。2009年成立的FoundationDB在2015年被苹果收购,它为一分散式资料库,可被部
Amazon新工具让用户自己教会Alexa新技能,不会写程式也OK
示意图,与新闻事件无关。 图片来源: Amazon Amazon的智慧喇叭因为多才多艺大受欢迎,周四Amazon释出新工具Amazon△Skill△Blueprints将让使用者可自制语音助理Alexa技能及订制化回答内容,不会写程式也能上手使用
现实中之所以出现“6岁贷款”“8岁贷款”等怪象,既暴露出不少商业银行管理存在漏洞,也折射出金融及征信监管存在漏洞,而且这样的漏洞迟迟没有被堵上。征信管理漏洞暴露 近日,陕西肖先生查询银行征信记录时发现,自