viernes, 20 de abril de 2018

Un fallo en LinkedIn permite el robo de datos personales de los usuarios


Aunque en las últimas semanas todos los focos apuntando a Facebook por el caso Cambridge Analytica, ahora es LinkedIn la que sale a la palestra al detectar un fallo que ha permitido a los piratas informáticos robar los datos personales de los usuarios de LinkedIn. El fallo en LinkedIn ha sido descubierto por el famoso pirata informático del sombrero blanco Jack Cable y está relacionado con la función Autocompletar de LinkedIn.

Concretamente, se trata de  un error en el plugin autocompletar que usan los sitios web para permitir a los usuarios completar los campos de los formularios de manera rápida. De esta forma, los piratas informáticos podrían haber robado gran información personal de los usuarios de LinkedIn.

Descubren un fallo en LinkedIn que habría permitido robar los datos personales de los usuarios


Entre estos datos que pueden haber robado se encontrarían el nombre completo, número de teléfono, dirección de correo electrónico, código postal, empresa en la que trabaja y puesto que desempeña. Para conseguir esto, se habrían usado sitios que ocultaban el botón de autocompletar pero hacían que la función se ejecutara con cualquier clic que se hiciera sobre la página.

fallo en LinkedIn

De esta forma, la función autocompletar se ejecutaba de forma invisible en el momento que se hacía clic en cualquier sitio de la web maliciosa y por lo tanto se pudieran capturar los datos. Este grave fallo en LinkedIn fue descubierto por Jack Cable el pasado 9 de abril quien automáticamente lo puso en conocimiento de LinkedIn. Sin embargo, la empresa no informó a los usuarios del problema y se puso manos a la obra para solucionar el problema.

Al día siguiente, fue cuando la red social anunció que había solucionado el problema que permitía a ciertos sitios que no pertenecían a la lista blanca de LinkedIn ejecutar la función autocompletar y recopilar los datos personales de los usuarios.

Aunque LinkedIn asegura que no hay pruebas para demostrar que esta vulnerabilidad haya sido utilizada para robar datos de los usuarios, Jack Cable afirma que es muy probable que alguien haya abusado de este fallo en LinkedIn sin el conocimiento de la propia red social y haber conseguido los datos personales de mucha gente.

Posteriormente, un portavoz de LinkedIn ha emitido un comunicado en el que asegura que la compañía planea lanzar una solución más integral lo antes posible para garantizar que los datos de los miembros de LinkedIn estén completamente protegidos y agradece el trabajo de Jack Cable.