I profili di LinkedIn a rischio dirottamento

LinkedInUn ricercatore di sicurezza ha detto che ci sono alcune vulnerabilità nel modo in cui i cookie sono stati gestiti dai profili LinkedIn e mette a rischio di manomissione i profili utente.

Rishi Narang, un anziano ex consulente finanziario ha detto che intercettando i cookie che le sessioni dell’utente creano, il profilo potrebbe essere dirottato. Un utente malintenzionato potrebbe mantenere l’accesso ad un account sul sito, nonostante la reimpostazione della password perché i cookies saranno ancora validi dopo la modifica.

I cookies sono vulnerabili ad un tipo di attacco man-in-the-middle perché il sito viene ripristinato dopo essersi collegati con https con il protocollo http.

LinkedIn non ha trovato alterazioni alle informazioni nei cookies creati da sessioni valide, Narang ha scritto sul suo blog: “In soli 15 minuti, sono stato in grado di accedere con successo a più account attivi appartenenti a persone provenienti da diverse località del pianeta, molte volte in questi mesi sono entrato nei loro account, ed il loro cookies erano sempre validi.

Un aggressore può annusare i cookies da una sessione di testo in chiaro e quindi utilizzarli per autenticare le loro sessioni. Egli può quindi compromettere e modificare le informazioni disponibili alla pagina del profilo utente. Anche se il dominio che ha rilasciato il cookie non ospita alcun contenuto a cui si accede su HTTP, un aggressore potrebbe essere in grado di utilizzare i collegamenti della forma https://www.linkedin.com ed eseguire lo stesso attacco”

LinkedIn ha detto che sta valutando la realizzazione di opt-in cioè parti di pagine web con il supporto HTTPS per evitare questi problemi.

“Sia che siate su LinkedIn o qualsiasi altro sito, è sempre una buona idea scegliere per collegarsi reti WiFi criptate o [reti private virtuali], ogni qualvolta sia possibile,” ha detto la società in un comunicato.

“LinkedIn prende la privacy e la sicurezza dei nostri membri sul serio, come il [secure sockets layer] per i login e le altre pagine web riservate. Inoltre, stiamo valutando opt-in con supporto SSL per le altre parti del sito che saranno disponibili nei prossimi mesi per evitare questi problemi di sicurezza in futuro”.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *