LinkedIn は、ユーザーの電話番号、電子メールアドレス、履歴書のダウンロードを可能にし、すべてのつながりリクエストを削除する可能性があった 5 つの危険なプライバシーホールを閉鎖しました。
この欠陥は、バンガロールのセキュリティ専門家ラフル・サシ氏の考案した、初の人間とボットを融合したハッキング技術によって発見され、その後修正された。
Sasi (@fb1h2s) は、インド・ゴアで開催されたハッキングコンベンション「Nullcon」で、The Registerが報じた「Cloud-AI」と名付けた野心的なプロジェクトを発表しました。当時彼は、直感と自動化された機械効率を融合させた欠陥発見器を開発したいという意向を説明していました。
「クラウドAIは現在、人間がウェブとどのようにインタラクションしてきたかに関する大規模なデータセットです」とサシ氏はVulture Southに語った。「私たちのチームは現在、クラウドAIをより複雑なインタラクションに対応できるようにトレーニングしており、近いうちにクラウドAIを使って個人がタスクを自動化できるAPIを開発する予定です。」
CloudSek の Sasi 氏と彼のチームは、LinkedIn や Facebook などの人気のクラウド アプリケーションに対してマシンをトレーニングし、前者で 10 件の危険な安全でない直接オブジェクト参照の脆弱性を発見しました。これは、通常は人間による手動分析によって特定され、自動スキャナーでは見逃されるバグ クラスです。
ヌルコンでのラーフル・サシ氏。画像: ダレン・パウリ、The Register。
Cloud-AIは、LinkedInのリクルータープロフィールから、他のユーザーへのメッセージで共有されたプロフィールのメールアドレスが漏洩する可能性があることも発見しました。メンバーリクエストの識別番号が被害者の身分証明書番号に置き換えられたことで、個人データは隠蔽されました。
サシ氏のマシンは、サイトを通じて求人に応募したユーザーの電話番号や電子メールアドレスを漏洩する可能性のある欠陥も発見した。
別の欠陥により、単一のリクエスト識別番号を操作するだけで LinkedIn 上のすべての接続リクエストを削除できる可能性があります。
その他のバグにより、Lynda ビデオのトランスクリプトや演習ファイルが認証や必要なプレミアム メンバーシップなしでダウンロードされる可能性がありました。
Sasi 氏は LinkedIn チームにバグを報告し、チームは報告から 1 日以内に重大な脆弱性を修正しました。
2016 年のこの論文 [PDF] で説明されている Cloud-AI は、機械学習と自然言語処理に基づいて構築されており、ベクトル空間モデルを使用して単語の文字列を数値に変換し、ナイーブ ベイズ機械学習分類器とコサイン類似度を使用してトレーニングを改善します。
これらの技術により、ウェブ上を自然にナビゲートし、ハッカーが最も早く利益を得るために狙うサイト内の部分を特定できるマシンが実現します。実際には、ツールが動的なユーザー指示に従える必要があり、「サインアップ」「さあ、始めよう」といったフレーズがすべてアカウント登録を意味することを理解する必要があります。
プロジェクトのいくつかのコンポーネントはオープンソース化される予定だとサシ氏はVulture Southに語った。®
