Massenhafter Datenklau möglich
Laut Cable seien Hacker in der Lage, das Plugin-Skript in versteckter Form auf Webseiten zu platzieren, und von seinen Besuchern unbemerkt Daten wie Namen, Telefonnummern, Email-Adressen, Arbeitgeber und den aktuellen Job-Titel abzugreifen. Nachdem Linkedin über das Problem informiert wurde, führte das Netzwerk eine Whitelist ein, sodass seitdem nur noch eigene Werbekunden das Plugin einsetzen können.Da mit Hilfe von "Cross-Site Scripting" dieser Schutz allerdings ausgehebelt werden könne, habe er Linkedin erneut kontaktiert, so Cable. Als Linkedin nach neun Tagen nicht auf seinen neuen Hinweis geantwortet hatte, entschied sich der Sicherheitsforscher dann, das Problem über den Technikblog Techcrunch öffentlich zu machen.
Linkedin beschwichtigt
Linkedin teilte Techcrunch mittlerweile mit, es gebe keine Anzeichen durch einen gezielten Missbrauch der Lücke durch Hacker. Cable sieht dies allerdings völlig anders. "Es ist durchaus möglich, dass ein Unternehmen dies ohne Linkedins Kenntnis ausgenutzt hat, da es keine Warnhinweise auf Linkedins Servern zu Folge gehabt hätte", so der Sicherheitsforscher. Dies erscheint durchaus plausibel. Laut dem deutschen Verfassungsschutz wird Linkedin bereits im großen Stil zur Abschöpfung von Daten genutzt.Dass sich das Autofill-Plugin von Linkedin tatsächlich zum Datenklau einsetzen lässt, hat Cable inzwischen durch einen Proof-of-Concept nachgewiesen. Linkedin plant laut Techcrunch in Kürze einen umfassenderen Fix für das Problem. Das Karrierenetzwerk teilte in einem Statement mit, man begrüße das Engagement von Cable und werde im Kontakt mit dem Sicherheitsforscher bleiben. Warum sich Linkedin dann neun Tage lang nicht bei ihm gemeldet hatte, erklärt dies allerdings nicht.