© Reuters/David Loh

Warnung
05/23/2011

LinkedIn: Sicherheitsleck gefährdet Userprofile

Das Karriere-Netzwerk LinkedIn weist nach Ansicht eines Sicherheitsexperten einen gravierenden Sicherheitsmangel auf. Cookies, die als Zugangstor zu User-Accounts missbraucht werden können, sind statt wenige Stunden ein ganzes Jahr gültig. Auch die fehlende Verschlüsselung wird kritisiert.

Aufgrund dieser Mängel sei es ihm gelungen, ohne Passwort in vier Accounts einzusteigen, so der indische Sicherheitsexperte Rishi Narang, der seine Erkenntnisse in einem Blogeintrag am Samstag veröffentlichte. Den Hinweis auf die funktionierenden User-Cookies bekam Narang aus Foren, in denen User aufgrund einer technischen Frage ihre Cookies posteten. Über entsprechende Tools könnten Cookies aber auch ohne Hilfe von Usern geklaut werden, warnt Narang.

Kein SSL-Support
Neben der fehlenden Verschlüsselung der Cookies, die offenbar im Klartext gespeichert werden, kritisiert der Sicherheitsexperte, dass diese bei LinkedIn untypischerweise ein Jahr lang gültig sind. Das würde Cyberkriminellen viel Zeit geben, um das Cookie auszunützen. Bankkunden etwa werden im Normalfall beim Internetbanking schon nach wenigen Minuten ausgeloggt und auch Einkaufsportale setzen oftmals auf eine 24-Stunden-Frist. Danach verlieren die Cookies ihre Gültigkeit und können zum Einstieg in einen User-Account im Normalfall nicht mehr verwendet werden.

Gegenüber Reuters erklärte LinkedIn, man arbeite bereits an einer Verschlüsselung für Cookies. Damit sei aber erst in den kommenden Monaten zu rechnen. Warum die Gültigkeitsdauer mit einem Jahr so lange angesetzt sei, wollte man bei LinkedIn zunächst nicht kommentieren. Das Business-Netzwerk hat am Donnerstag einen fulminanten Börsenstart hingelegt und seinen Aktienwert zeitweise nahezu

.

Mehr zum Thema

eine Newsletter Anmeldung Platzhalter.

Wir würden hier gerne eine Newsletter Anmeldung zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.

Um diesen Artikel lesen zu können, würden wir Ihnen gerne die Anmeldung für unser Plus Abo zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diese anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.