Дыра размером в год
Эксперты обнаружили уязвимости в профессиональной социальной сети LinkedIn, которые позволяют потенциальным хакерам получать доступ к данным её пользователей.
Технически проблема связана с файлами-идентификаторами, так называемыми cookie, сообщил независимый эксперт в области компьютерной безопасности Риши Наранг. Эти файлы создаются при посещении пользователем той или иной интернет-страницы. Они сохраняются на компьютере и используются для повторной авторизации. Большинство таких файлов «живут» от 30 минут до 2 дней, по истечении этого срока пользователь должен для входа в систему снова вводить пароль. Но, как выяснилось, cookie, которые генерирует LinkedIn, действуют в течение целого года.
Сookie с большим сроком жизни удобны для легитимного пользователя, так как позволяют ему избегать лишних вводов логинов и паролей. Но перехват таких файлов дает все эти преимущества хакеру, отмечает Наранг. К тому же cookie могут передаваться по открытым каналам связи, без какого-либо шифрования.
С учетом того, что сеть LinkedIn создана для обслуживания бизнесменов, поиска и установления деловых контактов, на личных страничках её пользователей может содержаться более ценная информация, чем, например, на странице среднего пользователя Facebook. Пользователи этой сети оставляют здесь массу своих персональных и деловых данных, утверждает Наранг. Проблему можно было бы решить, сократив срок жизни cookie до 30-60 минут, а также предоставив пользователям на выбор возможность входа через защищенную систему SSL, советует он.
Cookie используется как маркетинговый инструмент, который собирает информацию о посещенных пользователем страницах, социальных сетях, интернет магазинах, банковских серверах и прочее, говорит специалист по безопасности G Data Software в России и СНГ Роман Карась. Иными словами, они формируют картину привычек и образа жизни юзеров. «Эта информация важна для маректологов, которые на основе этих данных осуществляют более таргетированную рекламу. Причем пользователю достаточно зайти на страницу LinkedIn даже на несколько минут, и затем информация о его дальнейшем интернет-серфинге в течение нескольких дней или даже месяцев будет сохраняться на сервере LinkedIn», - поясняет он. Скорее всего, думает Карась, разработчики сервиса установили более длительное время сохранения данных учетной записи пользователя для того, чтобы собрать как можно больше информации для продажи маркетологам: информация о предпочтениях бинесменов очень ценна.
Неделю назад социальная сеть LinkedIn разместилась на бирже. Несмотря на то что перед IPO организаторы размещения повысили стоимость акций на 40%, торги бумагами сети открылись ростом, и в первый же день после IPO интернет-компания подорожала на 109%. Карась предполагает, что об уязвимости в сети знали очень давно. И сейчас эта новость была запущена конкурентами LinkedIn.
25.05.2011
RSS
Комментарии
Написать комментарий