Groźna luka w portalu LinkedIn

LinkedIn to serwis społecznościowy służący budowaniu relacji i kontaktów zawodowych, stąd ogromna jego popularność wśród menedżerów oraz ekspertów z różnych dziedzin. Według deklaracji właścicieli LinkedIna, liczba jego użytkowników na świecie przekracza 100 mln. Luka w zabezpieczeniach tego serwisu, którą jako pierwszy zidentyfikował Rishi Narang, niezależny analityk bezpieczeństwa z Indii, polega na braku szyfrowania ciasteczek (tzw. cookies) przechowujących loginy i hasła użytkowników serwisu.
Groźna luka w portalu LinkedIn
Wykryto lukę w biznesowym serwisie społecznościowym LinkedIn

Niepokoi również ekstremalnie długi okres ważności samych ciasteczek, wynoszący aż jeden rok. Randy Abrams, dyrektor ds. edukacji technicznej ESET, przypomina, że dzięki wspomnianym ciasteczkom serwisy takie jak LinkedIn czy Facebook rozpoznają swoich użytkowników i pozwalają im uzyskiwać dostęp do swoich kont bez konieczności logowania np. po ponownym uruchomieniu komputera.

Jakie ryzyko niesie ze sobą ujawniona luka? Specjalista z firmy ESET tłumaczy, że luka daje możliwość przechwycenia ciasteczka z danymi użytkownika i wykorzystania go do zalogowania się w serwisie jako konkretny Internauta. Osoba, która uzyska w ten sposób dostęp do profilu użytkownika może za jego pośrednictwem m.in. rozesłać do całej listy kontaktów wiadomość z linkiem do strony zawierającej złośliwy program.

Jak się bronić? Po skorzystaniu z serwisu, za każdym razem należy wyczyścić ciasteczka przed zamknięciem przeglądarki (lub zaznaczyć odpowiednie ustawienia w opcjach przeglądarki).