LinkedIn tem falhas de segurança, alerta perito independente

A rede social para contactos profissionais LinkedIn tem falhas de segurança que tornam as contas dos seus utilizadores vulneráveis a ataques de hackers, que poderão entrar mesmo sem saberem aspasswords. O alerta foi dado por um especialista independente, que identificou o problema.

redesocial51 LinkedIn tem falhas de segurança, alerta perito independenteRishi Narang – um especialista em segurança online, baseado em Nova Deli, na Índia – disse à Reuters que o problema está relacionado com a forma como o LinkedIn gere as suascookies, que servem para os utilizadores entrarem directamente na conta, sem necessidade de introduzirem novamente os seus dados, da vez seguinte que acederem ao site.

Depois de os utilizadores introduzirem o seu usernamepassword, o sistema do LinkedIn cria a cookie “LEO_AUTH_TOKEN”. Muitos sites usam cookies – por exemplo o Gmail -, mas aquilo que torna o LinkedIn mais vulnerável é que a cookie deste site não expira durante um ano a partir do momento em que esta é criada, alertou Narang, num post colocado no seu blogue www.wtfuzz.com.

A maioria dos sites comerciais criam as suas cookies de forma a expirarem ao final de 24 horas ou mesmo antes, embora os utilizadores possam decidir se querem manter a cookieactiva por mais tempo. No caso dos bancos online, por exemplo, estas expiram ao final de 5/10 minutos de inactividade.

A longa vida da cookie do LinkedIn significa que alguém que tenha acesso ao ficheiro poderá entrar facilmente nas contas dos utilizadores durante o máximo de um ano.

Narang diz ter encontrado quatro cookies com acessos válidos ao LinkedIn a circular num fórum online e que experimentou entrar nas contas dos utilizadores depois de ter feitodownload delas. Conseguiu entrar nas quatro.

Narang diz que este problema é tanto mais grave quando os utilizadores não têm noção dele.

Por seu lado, o LinkedIn já publicou um comunicado dizendo que está a fazer de tudo para garantir a privacidade dos titulares das contas.

“O LinkedIn encara a privacidade e a segurança dos seus membros de forma muito séria”, adiantou a empresa em comunicado, acrescentando que a melhor forma de garantir a segurança total é trabalhar em redes sem fios encriptadas ou em VPN’s (virtual private networks) sempre que possível”.

A empresa adiantou ainda que a sua rede suporta secure sockets layer (SSL), uma tecnologia para encriptar dados sensíveis, incluindo logins de contas, mas que as cookies de acesso ainda não estão harmonizadas com estas tecnologia.

A empresa indicou ainda que se está a preparar para, “nos próximos meses”, poder oferecer um “opt-in SSL support” mais abrangente, que cobriria a encriptação das cookies.

Loading...
Related Video

Tags:

 

About the author

More posts by admin

 

0 Comments

You can be the first one to leave a comment.

Leave a Comment