Vulnerabilidad en LinkedIn deja expuesta información de usuarios

Vulnerabilidad en LinkedIn deja expuesta información de usuarios

La red social para profesionales LinkedIn tiene fallas de seguridad que dejan la información de los usuarios vulnerable, y que permitiría a atacantes ingresar a las cuentas sin necesidad de contraseñas, afirmó hoy el experto en seguridad Rishi Narang.

El problema está en las cookies del sitio, que permiten acceder a la cuenta sin tener que volver a ingresar la contraseña. Aunque muchos sitios usan cookies, el problema de las de LinkedIn es que éstas no expiran hasta un año después de que fueron creadas.

La mayoría de los sitios hace que estas cookies dejen de ser válidas en 24 horas o menos. Las de los bancos, por ejemplo, expiran tras 5 o 10 minutos de inactividad del usuario. Pero las de LinkedIn no. Así, si alguien se apodera de ese archivo y lo usa en otro PC, podría obtener acceso a tu cuenta por hasta un año.

La compañía afirmó que está tomando medidas al respecto para asegurar las cuentas de sus usuarios, diciendo que se toman el tema en serio. “Ya sea si estás en LinkedIn o en cualquier otro sitio, siempre es buena idea optar por redes WiFi encriptadas o redes privadas cuando sea posible”, agrega el comunicado.

LinkedIn señaló que la compañía soporta secure sockets layer (SSL) para cifrar datos sensibles como las contraseñas, pero las cookies de acceso todavía no lo usan. Esto hace que estos archivos puedan ser extraídos de formas bastante simples por atacantes.

Narang resaltó la gravedad del asunto porque la mayoría de la gente no se preocupa mucho de las cookies. El investigador dijo que descargó cuatro de estos archivos de un foro de desarrolladores donde se estaba discutiendo el uso de cookies, y que con ellas pudo acceder a las cuentas de cuatro usuarios diferentes.

La información impactó negativamente a la empresa, que la semana pasada se abrió a la bolsa, bajando 5,2% en las transacciones del día.

Links:
LinkedIn site has security vulnerabilities (Reuters)
LinkedIn shares fall after doubling in IPO (Bloomberg)