Facebook er vel og bra til sitt bruk. Men svært mange bruker LinkedIn i jobb- og karrieresammenheng.
Avdekket hull
Nå viser det seg imidlertid at LinkedIn kan være utrygt.
Lørdag avdekket nemlig den indiske sikkerhetseksperten Rishi Narang et hull i det sosiale nettverket som kan føre til at uvedkommende får tak personopplysninger.
Nøkkel i cookie
Det svake punktet er ifølge bloggen Wtfuzz.com LinkedIns innloggingsprosedyre.
Annonse
Når du oppgir brukernavn og passord, lager systemet nemlig en informasjonskapsel (cookie) kalt LEO_AUTH_TOKEN. Denne legges lokalt på maskinen din, og fungerer som en nøkkel inn i systemet.
Ett års løpetid
LinkedIn er ikke alene om å bruke et slikt system, men det spesielle med akkurat denne løsningen er at informasjonskapselen ikke utløper før om et år.
Det vanlige er 24 timers utløpstid. Hos nettbankene utløper slike informasjonskapsler allerede etter fem eller ti minutter.
Kidnappet fire kontoer
Dette gir hackere god tid til å snoke i LinkedIn-brukernes saker.
Har de først fått fatt i filen, for eksempel via andre snokeprogrammer, kan de studere alt i ro og mak og følge med på det du og dine venner legger inn.
Narang hadde selv ingen problemer med å kidnappe fire kontoer (noe han selvsagt klarerte med de aktuelle brukerne på forhånd), og å skaffe seg full tilgang til alle aktiviteter og alt brukerne la inn.
Hjelper ikke med SSL
LinkedIn benytter den sikre nettprotokollen SSL. Men dette nytter lite så lenge krypteringen bare gjelder nettsiden og ikke informasjonskapselen.
Så langt har ingen utnyttet hullet. LinkedIn har så langt ikke villet kommentere Narangs funn.
Annonse
