Blogosferę obiegła nieprzyjemna wiadomość – użytkownicy LinkedIn, największego serwisu biznesowo-networkingowego na świecie, są narażeni na przejęcie konta. Co ważniejsze, nie pomoże w tym przypadku nawet zmiana hasła, gdyż problem dotyczy ciasteczek używanych przez serwis. Twórcy umywają ręce, sugerując stosowanie połączeń szyfrowanych – zarówno szyfrowanego Wi-Fi, jak i połączeń typu VPN – oraz informują, że wprowadzą https dla całego serwisu w przeciągu najbliższych kilku miesięcy.

Rishi Narang, były starszy konsultant w firmie Deloitte and Touche oferującej usługi związane z finansami, dowiódł, że konta użytkowników mogą zostać przechwycone za pomocą cookies nawet na okres roku! Jest to spowodowane tym, że ciasteczka zostają „odsłonięte” po przejściu z protokołu https do http, które ma miejsce po zalogowaniu się użytkownika. Z tego powodu użytkownicy serwisu są podatni na ataki typu man-in-the-middle.

Narang poinformował, że w ciągu 15 minut od odkrycia luki udało mu się uzyskać dostęp do wielu kont ludzi z całego świata. Żeby to osiągnąć, wystarczy przechwycić ciasteczko używane przesyłane między użytkownikiem, a serwisem, by wykorzystać je do uwierzytelnienia jako inny użytkownik. Następnie prawie cały profil użytkownika stoi otworem – atakujący ma możliwość uzyskania dostępu do prywatnych wiadomości, może rozsyłać spam lub też skompromiotwać właściciela profilu w inny sposób – np. poprzez zmianę danych profilu. Atakujący jest ograniczony jedynie funkcjami, które wymagają potwierdzenia poprzez kliknięcie w hiperłącze w dostarczonym na adres poczty elektronicznej właściciela profilu.

Podsumowując – przeszło 100 milionów użytkowników serwisu może być podsłuchiwana, ktoś obcy może czytać ich wiadomości, wydobyć dane prywatne i w ogóle się z tym nie ujawnić, czyli użytkownik nie będzie miał nawet pojęcia, że ktoś grzebie w jego profilu. Najgorsze jest to, że Narang dowiódł, że w tej sytuacji nie pomoże nawet zmiana hasła.

Sam serwis, wyceniany obecnie na osiem miliardów, wypowiedział się na temat sprawy w ten sposób:

Whether you are on LinkedIn or any other site, it’s always a good idea to choose trusted and encrypted wifi networks or virtual private networks whenever possible. LinkedIn takes the privacy and security of our members seriously, so we currently support secure sockets layer for logins and other sensitive web pages. In addition, we are evaluating opt-in SSL support for other parts of the site and expect those to be available in the coming months.

Trochę cienko jak na takiego giganta, prawda?

Spodobał Ci się tekst? Poleć znajomym:

Tagi: , ,

iStore

iStore

  • Maciek

    Autorze, czy wiesz, że na ten atak są podatne praktycznie wszystkie strony nie używające https? Proszę, nie róbmy z Antyweb Faktu.

  • http://antyweb.pl Grzegorz Marczak

    Maciek: Autorze, czy wiesz, że na ten atak są podatne praktycznie wszystkie strony nie używające https? Proszę, nie róbmy z Antyweb Faktu.

    a które duże strony, które zbierają pełne i bardzo szczegółowe dane (również biznesowe) nie korzystają z https?

    • http://www.facebook.com/pawel.subocz Pawel Subocz

      facebook, chociaż chyba ostatnio dali opcje szyfrowania całego ruchu? Ale cały czas domyślnie szyfrowanie jest wyłączone.

  • http://www.facebook.com/pawel.subocz Pawel Subocz

    FUD
    Oczywiście problem istnieje, ale nie ma co przesadzać. Większość (wszystkie?) serwisów bez https jest podatna na przejęcia sesji.
    Zwiększajmy świadomość developerów i użytkowników, ale nie kosztem kozłów ofiarnych.

  • http://antyweb.pl Grzegorz Marczak

    Pawel Subocz: facebook, chociaż chyba ostatnio dali opcje szyfrowania całego ruchu? Ale cały czas domyślnie szyfrowanie jest wyłączone.

    Facebook? On ma nawet komunikaty jak wychodzisz poza https.
    Dla mnie https to powinien być wymagany (wymuszany) standard wszędzie tam gdzie zbiera się dane czy jest logowanie.

  • Darek

    Ciasto jest doklejane do każdej żądania wysyłanego od przeglądarki do serwera. Są metody na odpowiednie kodowanie identyfikatorów sesji, żeby nie dało się go drugi raz wykorzystać. Ew. wymiana identyfikatora co jakiś okres czasu. To są metody ochrony przed man-in-the-middle. Bo HTTPS na całym serwisie to mało która firma stosuje.

  • Wiesiek

    linia 7: chyba powinno być „ciasteczek zjadanych przez…”

  • czoczo

    To mając czyjeś ciasteczka można się mu włamać na konta z których te ciasteczka pochodzą? Jestem w szoku.

  • Paweł Gulewicz

    Tak, faktycznie https powinien być stosowany wszędzie – ale fakt jest taki, że nie jest. Sam gigant facebook zaczął go stosować na poważnie dopiero w 2010 r. (i to chyba pod koniec). Serwisy go nie stosują do całego ruchu, bo wymaga to pewnych nakładów finansowych (duży ruch = większe nakłady).

  • Pingback: HTTPS Now – czy kampania wpłynie na sytuację w internecie?

  • http://www.facebook.com/michal.stanowski Michał Stanowski

    Grzegorz Marczak:
    Facebook? On ma nawet komunikaty jak wychodzisz poza https.
    Dla mnie https to powinien być wymagany (wymuszany) standard wszędzie tam gdzie zbiera się dane czy jest logowanie.

  • http://www.facebook.com/michal.stanowski Michał Stanowski

    Grzegorz Marczak:
    Facebook? On ma nawet komunikaty jak wychodzisz poza https.
    Dla mnie https to powinien być wymagany (wymuszany) standard wszędzie tam gdzie zbiera się dane czy jest logowanie.

    I dlatego antyweb, czy pytamy.pl i wszystko inne przy czym pracujesz/pracowałeś ma HTTPS tak?

    Wpis na miarę Faktu czy innego brukowca, a osoba która „odkryła te wielką lukę” chciała chyba szybko zyskać na popularnosci. A ten fragment „że w ciągu 15 minut od odkrycia luki udało mu się uzyskać dostęp do wielu kont ludzi z całego świata.” dla kogoś kto ma o tym choć nikłe pojęcie jest meeeegaa zabawny.

  • http://www.yahoo.com/ Verle

    You really saved my skin with this ifnoarmtion. Thanks!