O LinkedIn, rede social corporativa tem uma série de vulnerabilidades que atacam seus cookies e os transmitem por meio de SSL, afirmou o pesquisador independente de segurança na internet Rishi Narang. Segundo o especialista, esta vulnerabilidade pode resultar no seqüestro de contas de usuário e/ou modificar as informações do sem o consentimento do proprietário do perfil. As informações estão no blog de Narang.
Quer ficar por dentro de tudo o que acontece na comunidade de TI e telecom? Assine a nossa newsletter gratuitamente e receba, todos os dias, os destaques em sua caixa de e-mail
O pesquisador encontrou duas vulnerabilidades referentes aos “cookies” (canal de comunicação e fechamento da sessão). Uma delas é relativa ao cookie “LEO_AUTH_TOKEN”, criado depois que o usuário se registra na rede social e que serve como chave de acesso à senha, que só expira após um ano da sua data de criação. Ou seja, ele continua disponível, mesmo se a página do usuário for encerrada.
?Há exemplos onde os cookies são acessíveis para sequestrar sessões autenticadas. E eles têm apenas meses de idade (literalmente). Como resultado, em apenas 15 minutos eu consegui acessar várias contas de ativos que pertencem a pessoas de diferentes regiões do mundo. Elas fizeram o login/logout várias vezes nestes meses, mas os cookies ainda eram válidos?, explicou Narang em seu blog.
A outra falha é relativa aos cookies SSL sem um conjunto de bandeiras de segurança, que permite que todos os cookies fiquem disponíveis em formato de texto por meio do canal de comunicação criptografado. Segundo ele, isso aumenta o risco associado ao procedimento de autenticação. Um invasor pode ser capaz de realizar um ataque MITM e obter essas informações por meio de uma sessão estabelecida da página.
?Mesmo que um domínio que emitiu o cookie não hospede nenhum conteúdo acessado via HTTP, um hacker pode ser capaz de usar os links dos formulários para executar o ataque?, explicou Narang em seu blog.
Saiba mais:
LinkedIn aumenta IPO para US$ 352,8 milhões
LinkedIn impulsiona preço do IPO
IPO do LinkedIn pode movimentar US$ 274 milhões
Valor de mercado do LinkedIn mais que dobra e atinge US$ 2,26 bi
LinkedIn deve abrir capital
ð Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.
A OpenAI divulgou na última quarta-feira um relatório revelando que propagandistas ligados à China utilizaram…
A Anthropic enviou ao Congresso dos Estados Unidos, na última quarta-feira, uma série de recomendações…
A Leo, maior revendedora de insumos para marcenaria do Brasil, finalizou a migração de seu…
A NTT Data criou um AI Office no Brasil, uma iniciativa estratégica para inovar no…
O Centro Histórico-Cultural da Santa Casa de Porto Alegre encontrou na inteligência artificial uma forma…
O LinkedIn anunciou hoje (10), em evento para imprensa em São Paulo, a marca de…