O LinkedIn, rede social corporativa tem uma série de vulnerabilidades que atacam seus cookies e os transmitem por meio de SSL, afirmou o pesquisador independente de segurança na internet Rishi Narang. Segundo o especialista, esta vulnerabilidade pode resultar no seqüestro de contas de usuário e/ou modificar as informações do sem o consentimento do proprietário do perfil. As informações estão no blog de Narang.
Quer ficar por dentro de tudo o que acontece na comunidade de TI e telecom? Assine a nossa newsletter gratuitamente e receba, todos os dias, os destaques em sua caixa de e-mail
O pesquisador encontrou duas vulnerabilidades referentes aos “cookies” (canal de comunicação e fechamento da sessão). Uma delas é relativa ao cookie “LEO_AUTH_TOKEN”, criado depois que o usuário se registra na rede social e que serve como chave de acesso à senha, que só expira após um ano da sua data de criação. Ou seja, ele continua disponível, mesmo se a página do usuário for encerrada.
?Há exemplos onde os cookies são acessíveis para sequestrar sessões autenticadas. E eles têm apenas meses de idade (literalmente). Como resultado, em apenas 15 minutos eu consegui acessar várias contas de ativos que pertencem a pessoas de diferentes regiões do mundo. Elas fizeram o login/logout várias vezes nestes meses, mas os cookies ainda eram válidos?, explicou Narang em seu blog.
A outra falha é relativa aos cookies SSL sem um conjunto de bandeiras de segurança, que permite que todos os cookies fiquem disponíveis em formato de texto por meio do canal de comunicação criptografado. Segundo ele, isso aumenta o risco associado ao procedimento de autenticação. Um invasor pode ser capaz de realizar um ataque MITM e obter essas informações por meio de uma sessão estabelecida da página.
?Mesmo que um domínio que emitiu o cookie não hospede nenhum conteúdo acessado via HTTP, um hacker pode ser capaz de usar os links dos formulários para executar o ataque?, explicou Narang em seu blog.
Saiba mais:
LinkedIn aumenta IPO para US$ 352,8 milhões
LinkedIn impulsiona preço do IPO
IPO do LinkedIn pode movimentar US$ 274 milhões
Valor de mercado do LinkedIn mais que dobra e atinge US$ 2,26 bi
LinkedIn deve abrir capital
ð Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.
A pressão por controle de custos vem alterando a dinâmica das áreas de tecnologia nas…
O mercado brasileiro de fintechs passou por uma transformação no perfil dos investimentos em 2025.…
O avanço da inteligência artificial e o uso estratégico de dados vêm transformando a forma…
Por Ramon Ribeiro Quase metade do código produzido por assistentes de inteligência artificial contém vulnerabilidades…
Peça a um modelo de inteligência artificial que gere a imagem de uma cidade, sem…
O IT Forum apresenta, semanalmente, os novos executivos e os principais anúncios de contratações, promoções e mudanças…