13

Użytkownicy LinkedIn narażeni na przejęcie konta z powodu ciasteczek

Blogosferę obiegła nieprzyjemna wiadomość – użytkownicy LinkedIn, największego serwisu biznesowo-networkingowego na świecie, są narażeni na przejęcie konta. Co ważniejsze, nie pomoże w tym przypadku nawet zmiana hasła, gdyż problem dotyczy ciasteczek używanych przez serwis. Twórcy umywają ręce, sugerując stosowanie połączeń szyfrowanych – zarówno szyfrowanego Wi-Fi, jak i połączeń typu VPN – oraz informują, że wprowadzą […]

Blogosferę obiegła nieprzyjemna wiadomość – użytkownicy LinkedIn, największego serwisu biznesowo-networkingowego na świecie, są narażeni na przejęcie konta. Co ważniejsze, nie pomoże w tym przypadku nawet zmiana hasła, gdyż problem dotyczy ciasteczek używanych przez serwis. Twórcy umywają ręce, sugerując stosowanie połączeń szyfrowanych – zarówno szyfrowanego Wi-Fi, jak i połączeń typu VPN – oraz informują, że wprowadzą https dla całego serwisu w przeciągu najbliższych kilku miesięcy.

Rishi Narang, były starszy konsultant w firmie Deloitte and Touche oferującej usługi związane z finansami, dowiódł, że konta użytkowników mogą zostać przechwycone za pomocą cookies nawet na okres roku! Jest to spowodowane tym, że ciasteczka zostają „odsłonięte” po przejściu z protokołu https do http, które ma miejsce po zalogowaniu się użytkownika. Z tego powodu użytkownicy serwisu są podatni na ataki typu man-in-the-middle.

Narang poinformował, że w ciągu 15 minut od odkrycia luki udało mu się uzyskać dostęp do wielu kont ludzi z całego świata. Żeby to osiągnąć, wystarczy przechwycić ciasteczko używane przesyłane między użytkownikiem, a serwisem, by wykorzystać je do uwierzytelnienia jako inny użytkownik. Następnie prawie cały profil użytkownika stoi otworem – atakujący ma możliwość uzyskania dostępu do prywatnych wiadomości, może rozsyłać spam lub też skompromiotwać właściciela profilu w inny sposób – np. poprzez zmianę danych profilu. Atakujący jest ograniczony jedynie funkcjami, które wymagają potwierdzenia poprzez kliknięcie w hiperłącze w dostarczonym na adres poczty elektronicznej właściciela profilu.

Podsumowując – przeszło 100 milionów użytkowników serwisu może być podsłuchiwana, ktoś obcy może czytać ich wiadomości, wydobyć dane prywatne i w ogóle się z tym nie ujawnić, czyli użytkownik nie będzie miał nawet pojęcia, że ktoś grzebie w jego profilu. Najgorsze jest to, że Narang dowiódł, że w tej sytuacji nie pomoże nawet zmiana hasła.

Sam serwis, wyceniany obecnie na osiem miliardów, wypowiedział się na temat sprawy w ten sposób:

Whether you are on LinkedIn or any other site, it’s always a good idea to choose trusted and encrypted wifi networks or virtual private networks whenever possible. LinkedIn takes the privacy and security of our members seriously, so we currently support secure sockets layer for logins and other sensitive web pages. In addition, we are evaluating opt-in SSL support for other parts of the site and expect those to be available in the coming months.

Trochę cienko jak na takiego giganta, prawda?