O LinkedIn, rede social corporativa tem uma série de vulnerabilidades que atacam seus cookies e os transmitem por meio de SSL, afirmou o pesquisador independente de segurança na internet Rishi Narang. Segundo o especialista, esta vulnerabilidade pode resultar no seqüestro de contas de usuário e/ou modificar as informações do sem o consentimento do proprietário do perfil. As informações estão no blog de Narang.
Quer ficar por dentro de tudo o que acontece na comunidade de TI e telecom? Assine a nossa newsletter gratuitamente e receba, todos os dias, os destaques em sua caixa de e-mail
O pesquisador encontrou duas vulnerabilidades referentes aos “cookies” (canal de comunicação e fechamento da sessão). Uma delas é relativa ao cookie “LEO_AUTH_TOKEN”, criado depois que o usuário se registra na rede social e que serve como chave de acesso à senha, que só expira após um ano da sua data de criação. Ou seja, ele continua disponível, mesmo se a página do usuário for encerrada.
?Há exemplos onde os cookies são acessíveis para sequestrar sessões autenticadas. E eles têm apenas meses de idade (literalmente). Como resultado, em apenas 15 minutos eu consegui acessar várias contas de ativos que pertencem a pessoas de diferentes regiões do mundo. Elas fizeram o login/logout várias vezes nestes meses, mas os cookies ainda eram válidos?, explicou Narang em seu blog.
A outra falha é relativa aos cookies SSL sem um conjunto de bandeiras de segurança, que permite que todos os cookies fiquem disponíveis em formato de texto por meio do canal de comunicação criptografado. Segundo ele, isso aumenta o risco associado ao procedimento de autenticação. Um invasor pode ser capaz de realizar um ataque MITM e obter essas informações por meio de uma sessão estabelecida da página.
?Mesmo que um domínio que emitiu o cookie não hospede nenhum conteúdo acessado via HTTP, um hacker pode ser capaz de usar os links dos formulários para executar o ataque?, explicou Narang em seu blog.
Saiba mais:
LinkedIn aumenta IPO para US$ 352,8 milhões
LinkedIn impulsiona preço do IPO
IPO do LinkedIn pode movimentar US$ 274 milhões
Valor de mercado do LinkedIn mais que dobra e atinge US$ 2,26 bi
LinkedIn deve abrir capital
ð Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.
A Cohesity anunciou a concessão da Patente Nº 12.619.501 pelo Escritório de Patentes e Marcas…
Diogo Cortiz, professor da PUC-SP e doutor em Tecnologias da Inteligência e Design Digital, tem…
DJ Sampath chegou aos Estados Unidos há 30 anos com oito dólares no bolso e…
A evolução da inteligência artificial nos serviços financeiros ainda esbarra em desafios relacionados à experiência…
A Motorola Solutions anunciou a assinatura de um acordo definitivo para adquirir a D-Fend Solutions,…
Nesta terça-feira (2), a Meta anunciou a expansão global de configurações de conteúdo para contas…