Der indische Sicherheitsspezialist Rishi Narang warnt, dass LinkedIn mit den Zugangsdaten seiner Anwender schlampig umgeht und sich deshalb Unbefugte leicht Zugang zu fremden Konten verschaffen könnten. Zwar verschlüsselt LinkedIn die Übertragung des Passworts, leitet danach aber auf unverschlüsselte Seiten um. Deshalb werden während der Nutzung des Web-2.0-Adressbuchs folglich unter anderem Sitzungs-Cookies unverschlüsselt übertragen. Wenn ein Angreifer diese in einem ungeschützten WLAN abhören kann, hat er damit auch vollen Zugang zum Account des Belauschten.

Dass das in einem Cookie namens LEO_AUTH_TOKEN gespeicherte Zugangs-Token offenbar auch nach dem Abmelden nicht verfällt und weiterhin vollen Zugang zum Account gewährt, kommt bei LinkedIn noch erschwerend hinzu. Es soll laut Narang sogar Passwort-Änderungen überleben und erst nach einem Jahr verfallen.

Mit dem dem von Narang bereitgestellten Beispielsskript gelang es heise Security auch nach dem expliziten Abmelden ein Status-Update auf LinkedIn zu posten. Dies funktionierte allerdings nach einer Passwort-Änderung nicht mehr. Das liegt wahrscheinlich daran, dass LinkedIn derzeit das Session-Management überarbeitet.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE