LinkedIn heeft maatregelen aangekondigd om misbruik te voorkomen van een feature die het mogelijk maakt om het bestaan van willekeurige e-mailadressen van internetgebruikers te achterhalen. Het gaat om de feature die bij het aanmaken van een nieuw account wordt aangeboden.

Via deze feature kan het adresboek van andere online diensten, zoals Gmail, Yahoo en Hotmail, worden gebruikt voor het vinden van mensen die al op LinkedIn actief zijn. Hierbij wordt er van uitgegaan dat als een e-mailadres in het adresboek voorkomt, de gebruiker deze persoon al kent. Het is echter mogelijk om deze feature te misbruiken door een adresboek aan te maken met allerlei mogelijke e-mailadressen van bijvoorbeeld bekende personen.

Zodra het adresboek wordt geïmporteerd laat LinkedIn zien wie al actief op de sociale netwerksite is en wie nog geen gebruiker is. LinkedIn zal naar de mensen die nog niet op de website actief zijn een verzoek sturen. Hoewel de netwerksite niet het adres van gebruikers vertelt, kan dit eenvoudig worden achterhaald door de resultaten van wel en niet gevonden gebruikers met het gebruikte adresboek te vergelijken. De op deze manier gevonden e-mailadressen kunnen bijvoorbeeld voor spear phishingaanvallen worden gebruikt.

Volgens LinkedIn maken weinig mensen gebruik van deze feature en wordt die ook op andere websites gebruikt. Daarnaast zou een aanvaller ook gewoon een e-mail naar een adres kunnen sturen om te zien of het bestaat. Toch zijn er nu maatregelen aangekondigd om misbruikte voorkomen. Op de korte termijn worden twee maatregelen doorgevoerd, gevolgd door nog een maatregel op de lange termijn. Ook kunnen gebruikers zich straks afmelden om via de feature te worden gevonden, zo laat een woordvoerster tegenover IT-journalist Brian Krebs weten.