نقص امنیتی در پلاگین تکمیل خودکار LinkedIn به سایت‌های واسطه اجازه می‌دهد داده‌های شما را سرقت کنند.
نه تنها فیس‌بوک، بلکه در قابلیت محبوب تکمیل خودکار LinkedIn هم  اخیرا یک آسیب‌پذیری کشف شده که باعث می‌شود اطلاعات حساس کاربران بدون اطلاعشان برای سایت‌های واسطه فاش شود.
این پلاگین به سایت‌های دیگر اجازه می‌داد کاربران پروفایل خود را با استفاده از اطلاعات پروفایل LinkedIn مانند نام کامل، شماره تلفن، آدرس ایمیل، کد پستی، عنوان شغلی و شرکت را با یک کلیک کامل کنند.
به طور کلی دکمه تکمیل خودکار در سایت‌های لیست سفید کار می‌کند اما محقق ۱۸ ساله امنیتی، Jack Cable از Lightening Security اعلام کرده است که موضوع فقط این نیست.
Cable کشف کرده است که این ویژگی یک آسیب‌پذیری امنیتی ساده اما مهم دارد که به طور بالقوه هر وب‌سایت (scraper) را قادر می‌سازد مخفیانه اطلاعات پروفایل کاربر را بدون اطلاع خودش جمع‌آوری کند.
یک وبسایت مطمئن ممکن است دکمه تکمیل خودکار را در قسمت‌های مختلف سایت قرار دهد، اما بنا به گفته Cable یک مهاجم می‌تواند مخفیانه از این ویژگی استفاده کند و با تغییر ویژگی‌های آن دکمه را در کل صفحه گسترش داده و آن را مخفی کند.
از آن‌جا که دکمه تکمیل خودکار مخفی است، کاربران با کلیک روی هر نقطه از سایت، این ویژگی را فراخوانی می‌کنند و در نهایت اطلاعات عمومی و شخصی آن‌ها به وب‌سایت مخرف ارسال می‌شود.
مهاجمان چگونه از نقص LinkedIn بهره‌برداری می‌کنند:
- کاربر از سایت مخربی بازدید می‌کند که دکمه تکمیل خودکار LinkedIn را در یک iframe باز می‌کند.
- iframe طوری طراحی شده که کل صفحه را در بر می‌گیرد و برای کاربر قابل رؤیت نیست.
- کاربر در هر نقطه‌ای از صفحه کلیک می‌کند و LinkedIn این عمل را آغاز فرآیند کلید تکمیل خودکار معنی می‌کند و داده‌های کاربر را از طریق postMessage به سایت مخرب ارسال می‌کند.
Cable این آسیب‌پذیری را در ۹ آپریل کشف کرد و بلافاصله به LinkedIn اعلام کرد. این شرکت روز بعد بدون اعلام همگانی اقدام به انتشار اصلاحیه موقت کرد.
اصلاحیه فقط استفاده از این ویژگی را به سایت‌های لیست سفید محدود کرد. این سایت‌ها، همان سایت‌هایی هستند که به LinkedIn بابت میزبانی تبلیغاتشان پول پرداخت می‌کنند. Cable معتقد است این پچ ناقص بوده و سایت‌های لیست سفید می‌توانند با سوء استفاده از این ویژگی داده‌های کاربران را جمع‌آوری کنند.
علاوه بر این هر کدام از سایت‌های این لیست ممکن است اطلاعات کاربران را در اختیار سایت‌های ثالث مخربی قرار دهند.
برای اثبات این موضوع، Cable یک  صفحه‌ای ساخته‌است که نشان می‌دهد چطور یک سایت می‌تواند نام و نام خانوادگی، نشانی ایمیل، کارفرما و محل را بدست آورد.
از آن‌جا که LinkedIn اصلاحیه کاملی برای رفع این آسیب‌پذیری در تاریخ ۱۹ آپریل عرضه کرد، ممکن است صفحه گفته شده کار نکند.
این شرکت در بیانیه‌ای اعلام کرد: «ما به محض اطلاع جلوی استفاده غیرمجاز از این ویژگی را گرفتیم و در حال انتشار اصلاحیه دیگری هستیم که سایر موارد بالقوه سوءاستفاده را نیز در زمان کوتاه برطرف کند. البته هیچ نشانه‌ای از سوءاستفاده دیده نشده است و ما به طور مداوم در تلاشیم تا مطمئن باشیم داده‌های اعضای ما محافظت شده است. از گزارش مسئولانه این محققین تشکر می‌کنیم و تیم امنیت ما ارتباط با ایشان را ادامه خواهد داد.»
اگر چه آسیب‌پذیری همیشه پیچیده یا بحرانی نیست، اما با توجه به رسوایی اخیر Cambridge Analytica که در آن داده‌های بیش از ۸۷ میلیون کاربر فیس‌بوک افشا شده بود، این ضعف‌های امنیت می‌تواند علاوه‌بر مشتریان برای خود شرکت هم تهدیدی جدی باشد.