Sono state rese note attraverso una public disclosure alcune vulnerabilità molto pericolose insite all’interno di Linkedin, il social network orientato alla valorizzazione delle competenze e dei contatti lavorativi. Secondo il bollettino recentemente pubblicato da varutra.com (che comunque farebbe riferimento ad una issue risolta dal social, attualmente), era possibile impostare una seconda email per qualsiasi utente, permettendo all’attaccante di accedere immediatamente al profilo della vittima a suo nome senza chiedere ulteriori conferme, concretizzando cosଠun attacco CRSF (Cross Site Request Forgery). Il tutto si basava sul fatto che l’URL in questione era completamente in chiaro e si poteva manipolare facilmente dall’esterno, anche grazie a parametri autoesplicativi che l’attaccante poteva modificare a proprio piacere, del tipo:
- manage-email-submit?a ddEmail=custom_email_id&csrfToken= ajax%3A0988969076258526585
Inoltre, era addirittura possibile aggiungere un indirizzo email alla vittima, senza avvisarlo del cambio sul suo vecchio indirizzo (furto di identità ), ed un’ulteriore falla era presente nel modulo di reset delle password.
Tutti problemi che sono stati sottoposti a Linkedin e, nel frattempo, già mitigati. Gli utenti in questi casi possono fare poco, di loro, se non prestare molta attenzione a quello che fanno ed evitare di cliccare link che potrebbero essere malevoli come quello riportato.
Si suggerisce a tutti gli utenti del social in questione di:
- verificare la correttezza dell’indirizzo email del proprio account;
- cambiare periodicamente la propria password, usandone una sicura;
- non cliccare senza riflettere su eventuali link pervenuti via email (phishing, spam) che potrebbero sfruttare falle di questo tipo.
Photo by TheSeafarer
👇 Da non perdere 👇
- 📈 Analizza Cellulari 📱
- 🔐 AI che dolor, Chat
- 🎯 Targetizza Database SQL 🗄
- 📊 Analizza Errori più comuni 📛
- 🚧 Costruisci Evergreen 📟
- 👩💻 Programma Gratis 🎉
- 💻 Configura Hosting a confronto 💑
- 🔒 Conosci Hosting reti e domini 💻
- 👩💻 Tapioca Informatica 🖥
- 💻 Iconizza Internet 💻
- 🔒 Gestisci Lavoro 🔧
- 💡 Mostra Marketing & SEO 🌪
- 🔑 Apprendi Meteo ⛅
- 🤯 Visiona Mondo Apple 🍎
- 🔍 Supervisiona Mondo Domini 🌐
- 🚀 Metti in cloud monitoraggio servizi online 📈
- 🔮 Anatomizza Nuove tecnologie 🖥
- 🔒 Antani PEC e firma digitale 📩
- 👀 Prematura Programmare 🖥
- 🎮 Lonfa Scrivere 🖋
- 🔒 Conosci Servizi di SMS 📶
- 👀 Guarda Sicurezza informatica e privacy digitale 🖥
- 🎮 Ricorda Siti web 🌎
- 🤖 Ottimizza Spiegoni 🎓
- 🧠 Neuralizza Svago 🎈
- 📡 Quantizza Usare Excel 🌀
- 🤖 Sovrascrivi Windows 😲
- 🎨 Personalizza Wireless 🚁
- 🔑 Decifra WordPress 🤵
- 💬 Il nostro canale Telegram: iscriviti
- 🟠 Cosa sono le droplet per i VPS (Virtual Private Server)
- 🔴 Domini .CAM: come e dove registrarne uno
- 🟡 Estensioni di dominio .BOATS e .YACHTS