El portal de LinkedIn tiene problemas de seguridad

El portal de LinkedIn tiene problemas de seguridad
23 de mayo, 2011

linkedin-logo

La web de la red profesional de contactos LinkedIn tiene fallos de seguridad que hacen vulnerables las cuentas de los usuarios a ataques de hackers que podrían conseguir entrar sin necesidad de contraseñas, según un investigador de seguridad que identificó el problema.

La noticia de la vulnerabilidad se conoció durante el fin de semana, solo pocos días después de que LinkedIn saliera a bolsa la semana pasado con un debut en el que el valor de sus acciones más que se duplicó, recordando el auge de la inversión de las punto.com a finales de los 90. Rishi Narang – un investigador independiente de seguridad en Internet con sede cerca de New Delhi, India, que descubrió el fallo de la seguridad – dijo a Reuters el domingo que el problema está relacionado con la forma en la que LinkedIn administra un tipo de datos de los archivos conocidos como “cookies”.

Después de que un usuario introduce su nombre y contraseña de acceso a la cuenta, el sistema de LinkedIn crea una cookie “LEO_AUTH_TOKEN” en el ordenador del usuario que sirve de llave para acceder a la cuenta.

Muchas páginas webs utilizan este tipo de cookies, pero lo que hace a la cookie de LinkedIn inusual es que no caduca durante un año completo desde la fecha de creación, dijo Narang. Detalló la vulnerabilidad en un post en su blog http://www.wtfuzz.com el pasado sábado. La mayoría de las páginas webs comerciales normalmente diseñan sus cookies de acceso para que expiren en 24 horas, o incluso antes si el usuario sale de su cuenta, dijo Narang.

Hay algunas excepciones: las webs de la banca a menudo desconectan a los usuarios después de 5 o 10 minutos de inactividad. Google da la opción a sus usuarios de usar cookies que los mantienen conectados durante varias semanas, pero permite al usuario decidir primero. La larga vida de la cookie de LinkedIn significa que cualquier persona que obtiene ese archivo puede cargarlo en un PC y acceder fácilmente a la cuenta original del usuario durante hasta un año.

La compañía emitió un comunicado diciendo que ya toma medidas para proteger las cuentas de sus usuarios:

LinkedIn se toma la privacidad y la seguridad de nuestros miembros en serio (…) Ya estés en LinkedIn o en otra web, siempre será una buena idea elegir redes WiFi codificadas y de confianza o VPNs (red privada virtual) siempre que sea posible“.

La empresa dijo que en la actualidad admite SSL, o protocolo de capa de conexión segura, tecnología para codificar datos “sensiblemente” seguros, incluyendo contraseñas de cuentas.

Pero el acceso con esas simbólicas cookies aun no está codificado con SSL. Lo que hace que sea posible para los hackers robar las cookies usando herramientas ampliamente disponibles para rastrear el tráfico en Internet, dijo Narang.

LinkedIn dijo en su comunicado que está preparando ofrecer “opt-inSSL para otras partes del sitio, opción que cubriría la codificación de sus cookies. La compañía dijo que espera que esté disponible “en los próximos meses“. Pero los directivos de LinkedIn se negaron a responder a la crítica de Narang sobre el uso por la compañía de una cookie con un año de caducidad. Narang dijo que el problema es particularmente grave ya que los usuarios de LinkedIn no son conscientes del problema y no tienen idea de que deberían estar protegiendo sus cookies.

Dijo que encontró cuatro cookies con accesos válidos a LinkedIn que habían sido subidas a foros sobre LinkedIn por usuarios que posteaban preguntas sobe su uso. Afirmó que se descargó esas cookies y que fue capaz de acceder a las cuentas de los cuatros subscriptores de LinkedIn.

http://www.wtfuzz.com
  • Share This