LinkedIn – vulnerabilitate cookies - Securitatea Informatica

LinkedIn – vulnerabilitate cookies

Conturile utilizatorilor LinkedIn sunt vulnerabile in fata atacurilor informatice pentru ca hackerii pot sparge orice cont fara sa aiba nevoie macar de vreo parola, sustine un cercetator in securitate informatica, citat de Reuters.

Vestea acestei vulnerabilitati vine dupa ce LinkedIn Corp a prezentat publicului date care sustin dublarea valorilor actiunilor companiei, evocand amintiri din perioada de “explozie” a investitiilor in  mediul online, din anii ’90, informeaza Portfolio.

Durata fisierelor cookies, problema LinkedIn

Rishi Narang, un cercetator independent din New Delhi, India a declarat pentru Reuters ca problema este strans legata de modul in care LinkedIn controleaza un fisier foarte cunoscut, denumit fisier cookie.

Dupa ce utilizatorul introduce numele de cont si parola pentru a accesa contul propriu, sistemele folostie de LinkedIn genereaza un fisier cookie “LEO_AUTH_TOKEN”  pe computerul utilizat, care serveste drept cheie de acces catre respectivul cont.

Multe site-uri folosesc aceste fisiere cookie, dar problema retelei LinkedIn este faptul ca fisierul cookie nu expira nici la un an de la data in care a fost creat, potrivit cercetatorului.

Majoritatea site-urilor comerciale ar asigura o perioada de expirare de 24 de ore a fisierelor cookie de acces si chiar mai mica, pentru userii care se deconecteaza din cont pentru prima data.

Exista si cateva exceptii: site-urile de banking delogheaza utilizatorul dupa 2 sau 10 minute de inactivitate.

Si Google ofera utilizatorilor posibilitatea sa foloseasca fisiere cookie care sa ii tina logati timp de cateva saptamani, insa asigura libertatea de alegere userului.

Durata prelungita a fisierelor cookie din reteaua LinkedIn se traduce printr-o expunere foarte mare a utilizatorilor, pentru ca oricine intra in posesia acelui fisier, il poate copia si poate accesa contul respectiv fara nicio problema, timp de un an.

LinkedIn, fara o pozitie oficiala inca

In replica, reprezentantii LinkedIn au declarat ca se iau deja masuri de securizare a conturilor fiecarui client.

In fata criticilor aduse de Narang privind utilizarea fisierului cookie cu o valabilitate de un an, insa, oficialii LinkedIn au refuzat sa raspunda.

Lipsa de informare ii pune in pericol pe utilizatori

Cercetatorul sustine ca problema LinkedIn este cu atat mai grava cu cat userii nu sunt constienti de existenta ei si nu stiu ca ar trebui sa protejeze acele tipuri de fisiere.

Acesta a declarat ca a gasit patru astfel de coduri de acces la conturi LinkedIn valide, pe care utilizatorii le-au postat pe un forum de dezvoltare apartinand companiei. Utilizatorii postau intrebari despre modul de utilizare a acestor fisiere cookie.

Cercetatorul a descarcat aceste fisiere cookie si a reusit sa acceseze conturile celor patru utilizatori LinkedIn, informeaza Portfolio.

Sursa: bloombiz.ro

Twitter Digg Delicious Stumbleupon Technorati Facebook


Nici un comentariu inca... Fii primul care lasa un comentariu!

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro