Desarrolladores de LinkedIn corrigen una vulnerabilidad persistente de por parte de una Cross-site scripting (inseguridad informática) que estuvo persistente en la red social esta semana, estas podrían haberse aprovechado para difundir un gusano en foros de ayuda del servicio.
Fue una muy una respuesta rápida para la empresa de acuerdo con el investigador, quien dijo LinkedIn corrige el problema apenas tres horas después de que lo reportó.
De acuerdo con Rohit Dua, un investigador de seguridad con sede en la India, el problema existía en un portal en el sitio del Centro de Ayuda de LinkedIn. Para explotar el tema, el usuario habría tenido que iniciar sesión en LinkedIn, ido al Foro de ayuda del sitio y comenzar una discusión. Al participar en unas pocas líneas de código, Dua afirma que un atacante podría haber ejecutado un script (guión).
«Una vez que la problemática es expuesta, junto con la ejecución del script, se puede ver de inmediato en el foro de ayuda, sus debates o en la lista pública de preguntas» escribió Dua en su prueba de concepto, publicado el miércoles.
Si un atacante encontró una manera de explotar la vulnerabilidad, que podría haber sido fácilmente aprovechado para un gusano XSS afirma Dua.
Dua alertó a la compañía del error poco después de las 11 pm del lunes, y de acuerdo a su cronograma de divulgación, LinkedIn implementó una solución poco después de las 2 am del martes.
Al llegar el miércoles un portavoz de LinkedIn corroboró la vulnerabilidad y la solución correspondiente y aseguro a los usuarios que no hay datos comprometidos de ningún miembro.
«Este problema se da a conocer de manera responsable en nuestro centro de ayuda, no en el sitio principal, y ningún dato de nuestros miembros estuvo en riesgo. El investigador estuvo complacido de trabajar con las personas que ayudaron a solucionar el problema de una manera muy oportuna. No ha habido explotación o abuso de este tema en nuestro portal de ayuda. Nos gustaría dar las gracias al investigador por su gran relato y por ayudar a proteger a nuestros miembros «, dijo LinkedIn.
LinkedIn anunció el pasado verano que comenzó su propio programa de recompensas de errores privada, en octubre de 2014. Si bien la iniciativa sigue siendo privada, LinkedIn ha invitado Dua a unirse al programa.
Fuente: Thread Post