LinkedIn: Sicherheitsleck gefährdet Userprofile
Dieser Artikel ist älter als ein Jahr!
Aufgrund dieser Mängel sei es ihm gelungen, ohne Passwort in vier Accounts einzusteigen, so der indische Sicherheitsexperte Rishi Narang, der seine Erkenntnisse in einem Blogeintrag am Samstag veröffentlichte. Den Hinweis auf die funktionierenden User-Cookies bekam Narang aus Foren, in denen User aufgrund einer technischen Frage ihre Cookies posteten. Über entsprechende Tools könnten Cookies aber auch ohne Hilfe von Usern geklaut werden, warnt Narang.
Kein SSL-Support
Neben der fehlenden Verschlüsselung der Cookies, die offenbar im Klartext gespeichert werden, kritisiert der Sicherheitsexperte, dass diese bei LinkedIn untypischerweise ein Jahr lang gültig sind. Das würde Cyberkriminellen viel Zeit geben, um das Cookie auszunützen. Bankkunden etwa werden im Normalfall beim Internetbanking schon nach wenigen Minuten ausgeloggt und auch Einkaufsportale setzen oftmals auf eine 24-Stunden-Frist. Danach verlieren die Cookies ihre Gültigkeit und können zum Einstieg in einen User-Account im Normalfall nicht mehr verwendet werden.
Gegenüber Reuters erklärte LinkedIn, man arbeite bereits an einer Verschlüsselung für Cookies. Damit sei aber erst in den kommenden Monaten zu rechnen. Warum die Gültigkeitsdauer mit einem Jahr so lange angesetzt sei, wollte man bei LinkedIn zunächst nicht kommentieren. Das Business-Netzwerk hat am Donnerstag einen fulminanten Börsenstart hingelegt und seinen Aktienwert zeitweise nahezu
Kommentare