Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/05/2011
Acusen LinkedIn de tindre vulnerabilitats de seguretat
Dies després de la sortida a Borsa de LinkedIn, un investigador de seguretat assegura que la companyia té vulnerabilitats que permetrien a un atacants accedir als comptes dels usuaris.
LinkedIn, la xarxa social per a professionals, té fallades de seguretat que fan que els comptes dels usuaris siguen vulnerables als atacs i permetrien als hackers accedir a les contrasenyes. Almenys és el que acaba de confirmar un investigador de seguretat. La notícia sobre les vulnerabilitats de LinkedIn es produeix tan sols uns dies després que la companyia es fera pública i les seues accions, acabades d'eixir a Borsa, cresqueren a més del doble.
Ha estat Rishi Narang –un investigador de seguretat en Internet independent– qui ha descobert una vulnerabilitat que està relacionada amb la manera en què LinkedIn fa ús de les dades d'arxius coneguts com galetes.
Després que s'escriu el nom d'usuari i la contrasenya apropiada d'un compte, el sistema de LinkedIn crea una galeta “LEO_AUTH_TOKEN” amb què l'ordinador de l'usuari serveix com a clau per a accedir al dit compte.
Un bon nombre de llocs web utilitzen aquest tipus de galeta, però el que fa diferent la de LinkedIn és que no expira després d’un any de la seua creació. En el seu bloc, Rishi Narang detalla la vulnerabilitat i explica que, en la majoria de les pàgines web comercials, aquesta galeta caduca a les 24 hores o abans; en els bancs, per exemple, caduquen després de cinc o deu minuts d'inactivitat.
La llarga vida de la galeta de LinkedIn fa que qualsevol que aconseguisca el dit arxiu podrà utilizar-lo durant un any.
Assegurant que LinkedIn «es pren molt seriosament la privacitat i seguretat dels seus membres”, la companyia ha dit que ja s'estan prenent els passos necessaris per a assegurar els comptes dels seus usuaris.
LinkedIn assegura que actualment suporta SSL, una tecnologia que permet xifrar certes dades sensibles: però la veritat que és que les ‘token cookies' d'accés no estan contemplades dins d'aqueix SSL. Segons expliquen en la companyia, estan treballant per a afegir suport SSL a altres parts del lloc web; una opció que podria cobrir el xifrat d'aquestes galetes, el que estaria disponible en els pròxims mesos.