Hlavní navigace

Maily byly přístupné komukoliv. Selhal opět Linkedin v ochraně soukromí?

Autor: LinkedIn.com
Daniel Dočekal

Maily uživatelů Linkedinu by neměly být veřejné. V praxi ale stačil vhodný software a mohli jste získat maily kohokoliv. Tentokrát ale zřejmě nešlo o chybu Linkedinu.

Profesní sociální síť Linkedin má za sebou dlouhou historii problematického přístupu k soukromí svých uživatelů. V minulosti například došlo k využívání mailů, které uživatelé sociální sítě poskytli a které její provozovatel „zapomněl“ smazat. Kontroverzní šmírování v poště pomocí proxy nakonec v Linkedinu neustáli. Kromě kauz týkajících se e-mailů se Linkedin před dvěma lety potýkal i s masivním únikem hesel.

Nový a dost nepříjemný problém se objevil před několika týdny. E-mailové adresy uživatelů Linkedin mělo být možné zjišťovat pomocí rozšíření pro webový prohlížeč. Kdokoliv s příslušným rozšířením pro Chrome, Firefox či Safari tak mohl zjistit e-mail jiného uživatele, aniž by spolu na sociální síti navázali spojení.

Představitelé Linkedinu na vše zareagovali poněkud netradičním způsobem, hrozbami právních kroků vůči autorům rozšíření (Sell Hack). Ti ho následně znepřístupnili. Tedy alespoň podle zahraničních médií, byť v Google Play můžete Sell Hack najít stále. Stejně tak je k dispozici přímo na webu www.sellhack.com.  Podle samotných tvůrců ale už nebude e-maily z LinkedIn zpřístupňovat.

Děravý Linkedin nebo je to jinak?

Na rozšíření „Sell Hack“ je zajímavé, že zřejmě nevyužívalo žádného bezpečnostního nedostatku (díry) přímo v Linkedin. Jak uvádí Sophos, šlo velmi pravděpodobně o získávání e-mailů z jiných zdrojů na základě toho, co uživatel o sobě na Linkedin uváděl. V řadě případů tak Sell Hack e-mail skutečně poskytl, ale tam, kde nebylo z čeho brát, rozšíření selhávalo.

Co konkrétně Sell Hack dělal, se ale neví. Lisa Vass ze Sophosu uvádí, že bohužel nebylo možné konkrétní skripty prověřit, protože se nenacházely v aplikaci, ale na serverové straně. V zásadě to tedy vypadá, že Linkedin tentokrát žádný přímý bezpečnostní problém nemá.

V každém případě je vhodné zdůraznit, že případná rozšíření do prohlížečů jsou už několik let oblíbeným nástrojem hackerů i rhybářů. A pokud si do (například) Chrome stáhnete Sell Hack a dáte mu právo cokoliv získávat z Linkedin.com (případně ještě hůře ze všech webů, na které chodíte), tak se nemůžete divit ničemu. 

Našli jste v článku chybu?