Rishi Narang, un investigador de seguridad en Internet independiente, ha descubierto una vulnerabilidad relacionada con la manera en que LikedIn hace uso de los datos de archivos conocidos como cookies. Este descubrimiento llega días después de la exitosa salida a Bolsa de la popular red social.
Narang señalaba que después de escribir el nombre de usuario y la contraseña apropiada de una cuenta, el sistema de LinkedIn crea una cookie, “LEO_AUTH_TOKEN”, en el ordenador del usuario que sirve como clave para acceder a dicha cuenta.
En una gran parte de las páginas web comerciales esta cookie caduca a las 24horas o antes, en los bancos, por ejemplo, caducan después de cinco o diez minutos de inactividad. Por su parte, desde LinkedIn han asegurado que actualmente soporta SSL, una tecnología que permite cifrar ciertos datos sensibles, pero lo cierto que es las «token cookies» de acceso no están contempladas dentro de ese SSL.
Respecto a esto, la compañía ha asegurado que se está preparando para ofrecer «opt-in«, el soporte SSL para otras partes del sitio, una opción que cubre el cifrado de las cookies y que se espera esté disponible en los próximos meses.
