Themen
26.07.2019 LinkedIn

LinkedIn: Sicherheitslücke bei Job Posts

CEO von LinkedIn, Verwaltungsrat von Microsoft oder auch einfach Programmierer bei Windows: Das Businessnetzwerk hat ein grosses Problem, jedes Mitglied kann Momentan im Namen eines Unternehmen auf der Plattform irgendeinen Job glaubwürdig ausschreiben. Und das ist erst noch ziemlich einfach.

Andrea Löpfe
2 Min. Lesezeit
Keine Kommentare

Job Posts sind eine tolle Funktion für Unternehmen, um innert fünf Minuten eine offene Stelle via LinkedIn zu publizieren.  Vom  KMU bis zum HR von Grossfirmen können LinkedIn-User Stellenanzeigen veröffentlichen ohne einen Jahresvertrag oder mehrere Tausend Franken auszugeben.

Problem: Postings im Namen anderer Unternehmen

Diese eher neue Funktion wurde im Frühling ausgerollt und sie hat ein grosses Problem: Nicht nur Admins oder Recruiter einer Unternehmensseite können einen Job Post erstellen, sondern jedes LinekdIn-Mitglied kann für irgendeine Seite auf LinkedIn eine Stellenausschreibung veröffentlichen.

Schnell und unkompliziert: Das Auswählen eines Unternehmens via Dropdown. Quelle: Printscreen LinkedIn

Vom Job Post zur Phishing-Seite

Das Problem hat nun Michel Rijnders in einem LinkedIn Pulse Artikel aufgegriffen und aufgezeigt, dass man locker auch bei der Unternehmensseite von LinkedIn den Job für einen neuen CEO ausschreiben kann. Und das erst noch ohne etwas für die Promotion zahlen zu müssen. Nebst der möglichen Beeinflussung eines Aktienkurses, gibt es noch weitere Szenarien, was man mit einem manipulierten Job Post anstellen kann.

Angabe einer externen URL für einen Job Post. Quelle: Printscreen LinkedIn

Denn die Verlinkung des Jobs muss nicht zwingend auf LinkedIn Stellenanzeige führen, es kann eine externe URL zu einer anderen Website hinterlegt werden, wie Rijnders in seinem Beitrag aufzeigt. Eine seriös wirkende Jobanzeige kann also auf irgendeine Phishing-Seite führen und das ausgerechnet auf der Business- und Vertrauensplattform Nummer 1.

LinkedIn Jobs hat ein Problem (Quelle: Michel Rijnders)

Fake Job Post auf der Unternehmensseite von LinkedIn. (Quelle: Michel Rijnders)

Wer erwischt wird, wird gesperrt

Natürlich hat LinkedIn eine Richtlinie für das Veröffentlichen von Job Posts definiert, in denen wird auch gewarnt, dass man keine Fake-Jobs veröffentlichen darf. Allerdings scheint dies bisher trotzdem ohne weiteres möglich zu sein.

Zum Glück können gefälschte Job Posts via LinkedIn schnell entfernt werden, aber nur wenn man Admin Rechte bei der betroffenen Page besitzt.

LinkedIn ist informiert

Das Ziel von Rijnder Beitrag war nicht primär Aufmerksamkeit durch die breite Masse, durch das Taggen von LinkedIn CEO Jeff Weiner, informierte er auch die oberste Etage über die Sicherheitslücke. Mit Erfolg, wenige Stunden nach dem Rijnders seinen Beitrag mit dem Hinweis zur Sicherheitslücke publiziert hatte, reagierte Paul Rockwell, Head of Trust and Safety auf den Post: ” Wir haben den Job Post entfernt und sind dabei das Problem, dass den Beitrag überhaupt ermöglicht hat zu beheben.” Wie und wann das der Fall sein wird, ist allerdings noch unbekannt.

Rockwell betonte zudem: “LinkedIn ist ein Ort für echte Menschen, um echte Gespräche über ihre Karriere zu führen. Es ist kein Ort für gefälschte Jobs.”

Fazit

Diese offensichtliche Lücke muss dringend geschlossen werden, denn gerade bei Bewerbungen geben User sensible Daten weiter. Es wäre schade wenn das Vertrauensimage, das sich LinkedIn in den letzten Jahren aufgebaut hat leiden würde und eine eigentlich tolle Funktion missbraucht wird.

Facebook Twitter

Kommentar via Facebook

Bitte akzeptieren Sie die Cookies um die Facebook Kommentare zu nutzen.

Schreib uns einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kennst Du schon unsere wöchentlichen Newsletter?

Facebook & Instagram   LinkedIn