LinkedIn曝安全漏洞 易受黑客攻击

pasckr

    一名安全专家近日称，LinkedIn商务社交网站存在安全漏洞，使得用户的账号易受攻击黑客可以无需密码便黑进用户的账户。
几天前LinkedIn才上市，交易日首日其估值就成倍增长，如今有关其安全漏洞的问题则传得风风火火。
印度一位独立网络安全专家Rishi Narang最先发现了LinkedIn存在安全漏洞，并在周日接受采访时表示，这个问题同LinkedIn管理常用数据文件cookie的方式有关。
在用户输入正确的用户名和密码进入其账户之后，LinkedIn的系统就会在用户电脑上生成一个“LEO_AUTH_TOKEN”的cookie，可以作为进入账户的密匙。
许许多多的网站都采用这样的cookie，但Narang表示，LinkedIn的cookie之所以特别，在于它的数据一整年都不会过期。
安全研究人员表示，职业社交网站LinkedIn存在安全漏洞，使得黑客无需密码即可入侵用户账户。
就在LinkedIn上周IPO并实现市值翻番后，周末立刻出现安全漏洞的消息，使人们回想起上世纪90年代末的互联网泡沫。
该漏洞是由印度新德里的独立互联网安全研究人员瑞什·纳朗(Rishi Narang)发现的。他上周日表示，该问题与LinkedIn管理常规数字文件cookie的方法有关。
在用户输入了正确的用户名和密码并访问账户后，LinkedIn系统会在用户电脑上创建一个名为“LEO_AUTH_TOKEN”的文件，充当访问该账户的密钥。很多网站都会使用这类cookie，但LinkedIn的独特之处在于，该文件要在创建一年后才能过期。
纳朗上周末在个人博客上披露了该漏洞的详细信息。他表示，多数商务网站的密钥有效期都在24小时以内，如果用户注销账户，有效期甚至还会更短。但仍然存在一些例外：如果5至10分钟没有任何活动，银行网站通常会自动注销用户账户。谷歌则允许用户将有效期自主设定为数周，但首先要获得用户许可。
LinkedIn的超长cookie有效期意味着，在长达一年的时间内，任何获得这一文件的人都可以将其加载到PC中，并轻易访问用户原始账户信息。
LinkeIn发布了一条声明称，已经采取一些措施来保障用户的账户安全。“LinkedIn非常看重用户的隐私和安全，”该公司称，“无论你是在LinkedIn还是其他网站上，都要尽可能选择值得信任或加密的Wi-Fi网络或虚拟专用网(VPN)。”
LinkedIn表示，该公司目前支持加密套接字协议层(SSL)技术，可以对账户登录信息等敏感数据进行加密。
但这些充当登录密钥的cookie尚未使用SSL。这就使得黑客可以利用常见的流量嗅探工具窃取cookie。
LinkedIn在声明中称，计划允许用户主动借助SSL对网站的其余部分进行保护，其中包括对cookie的加密。该公司称，这一计划预计将在“未来几个月内”部署。但LinkedIn拒绝对纳朗的批评做出回应。
纳朗称，这个问题非常严重，因为LinkedIn的用户并未意识到该问题，而且并不了解如何保护自己的cookie。他发现，有用户在询问使用问题时，已经将4个LinkedIn的cookie上传到该公司的开发者论坛中。他已经下载了这些cookie，并成功访问了这4位LinkedIn用户的账户。
【免责声明】本文仅代表作者本人观点，与和讯网无关。和讯网站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。