Account LinkedIn a rischio, scoperto grave bug nella gestione cookie



Il sito di networking professionale LinkedIn ha delle falle di sicurezza che rende gli account degli utenti vulnerabili agli attacchi di hacker, i quali potrebbero accedervi senza nemmeno aver bisogno di password, secondo un ricercatore di sicurezza che ha identificato il problema. LinkedIn, fondato nel dicembre 2002 e avviato nel maggio 2003, è utilizzato principalmente per networking professionale.

A marzo 2011, LinkedIn relaziona più di 100 milioni di utenti registrati, che coprono più di 200 paesi e territori in tutto il mondo. La notizia della vulnerabilità è emersa durante il fine settimana, solo pochi giorni dopo LinkedIn Corp è andato in offerta pubblica la scorsa settimana con il debutto commerciale che ha visto il valore delle sue azioni più del doppio, che evoca i ricordi del boom di investimenti dot.com della fine degli anni 1990. 

Rishi Narang - un ricercatore indipendente di sicurezza Internet con sede vicino a New Delhi, in India, che ha scoperto la falla di sicurezza - ha detto a Reuters Domenica che il problema è legato al modo in cui LinkedIn gestisce un tipo di file dati comunemente usato e conosciuti come cookie, che includono il JSESSIONID e il LEO_AUTH_TOKEN. 

Dopo che un utente inserisce il nome utente corretto e la password per accedere a un account, il sistema di LinkedIn crea i cookie sul computer dell'utente che servono come chiave per accedere all'account. Molti siti web utilizzano tale cookie, tra i quali Facebook, ma ciò che rende il cookie LinkedIn insolito è che non scade per un anno intero dalla data della sua creazione, ha detto Narang. Il dettaglio della vulnerabilità è descritto in un post sul suo blog di Sabato.


I cookie token di accesso della maggior parte dei siti web commerciali in genere scadono nel giro di 24 ore, o anche prima se un utente effettua il logout dal sito, ha detto Narang. Ci sono alcune eccezioni: i siti bancari spesso disconnettono gli utenti dopo 5 o 10 minuti di inattività. Google offre ai suoi utenti la possibilità di usare i cookies che li tengono connessi per diverse settimane, ma consente all'utente di deciderlo prima. La lunga durata del cookie LinkedIn significa che chiunque si impossessa del file può caricarlo su un PC e accedere facilmente all'account originale dell'utente per almeno un anno.



La società ha rilasciato una dichiarazione dicendo che essa sta già effettuando la procedura per garantire gli account dei suoi clienti. "LinkedIn prende la privacy e la sicurezza dei nostri iscritti seriamente", dice la nota. "Sia che siate su LinkedIn o qualsiasi altro sito, è sempre una buona idea scegliere reti WiFi o reti VPN (reti private virtuali) criptate o di fiduicia, quando possibile". La società ha detto che attualmente supporta SSL, o Secure Sockets Layer, tecnologia per la crittografia di alcuni dati "sensibili", tra cui gli accessi agli account. Ma quei token cookie di accesso non sono ancora codificati con SSL.


Ciò rende possibile per gli hacker rubare i cookie utilizzando strumenti ampiamente disponibili per sniffare il traffico Internet, ha continuato Narang. Se si è in una rete di casa o aziendale e qualcuno raccoglie i cookie di traffico o usa Firesheep il gico è fatto. E, anche se si cambia la password e tutte le impostazioni, ancora il vecchio cookie è valido e dunque concede all'attaccante un accesso al vostro account. LinkedIn ha detto nella sua dichiarazione che si sta preparando ad offrire opt-in il supporto SSL per le altre parti del sito, una opzione che avrebbe coperto la crittografia dei cookie. 

L'azienda ha detto che si aspetta sarà disponibile "nei prossimi mesi". Ma i funzionari LinkedIn hanno rifiutato di rispondere alla critica di Narang sull'uso della società di un cookie con scadenza di un anno. Narang ha detto che il problema è particolarmente grave perché gli utenti di LinkedIn gli utenti non sono consapevoli del problema e non hanno idea che essi debbano proteggere tali cookie. Il ricercatore aa affermato, inoltre, di aver trovato quattro cookie con token di accesso LinkedIn validi che erano stati caricato su un forum per gli sviluppatori LinkedIn dagli utenti che avevano postato delle domande circa il loro uso. Narang ha scaricato quei cookie e ha potuto accedere agli account dei quattro abbonati LinkedIn.

Nessun commento:

Posta un commento