Den sidste uge har været en fantastisk tid for det sociale netværk LinkedIn. Som ComON kunne fortælle torsdag, havde LinkedIn en forrygende debut på børsen i USA. Den oprindelige aktiekurs på 45 dollar steg hurtigt til over 100 dollar, og dermed har firmaet en anslået værdi på 10 mia. dollar.
Men en sikkerhedsekspert kaster nu lidt malurt i bægeret for LinkedIn. Han påpeger en række alvorlige svagheder i håndteringen af cookies hos LinkedIn. Det fremgår af denne blog.
Rishi Narang kritiserer blandt andet, at cookies bliver overført i klar tekst uden kryptering, og de er sat til at udløbe efter et helt år.
Det er en meget lang levetid for cookies og det betyder at it-kriminelle har masser af tid til at udnytte stjålne cookies. Hos netbanker bliver man typisk logget ud efter få minutter og de fleste netbutikker har også en 24-timers-frist.
Herefter er cookies ikke længere gyldige og kan altså ikke bruges til at få adgang til den pågældende brugers konto.
Sikkerhedseksperten fortæller at han har udnyttet svaghederne til at få adgang til fire brugerkonti hos LinkedIn uden at kende kodeordene.
LinkedIn har lovet at man vil indføre kryptering, men det kommer først til at ske om nogle måneder. Det sociale netværk kan ikke forklare, hvorfor cookies har en usædvanlig lang levetid på et helt år.
Ifølge sine egne tal har LinkedIn mere end 100 millioner brugere. I modsætning til Facebook er der fokus på arbejdsrelaterede, ikke private kontakter. Mange bruger LinkedIn til at komme i kontakt med nye potentielle arbejdsgivere.
