Fresco di un IPO in cui il suo prezzo va sue giu come una pallina da tennis, LinkedIn è stato accusato di vulnerabilità nella sicurezza da parte di un ricercatore indiano, Rishi Narang.

Narang, che ha pubblicato la sua analisi della gestione dei cookie su LinkedIn, ha identificato due problemi di gestione dei cookie: un cookie SSL viene utilizzato senza sicurezza, e i cookies sono disponibili dopo la fine delle sessioni autenticate.

Nel primo caso, tutti i cookie, compresi JSESSIONID e LEO_AUTH_TOKEN, sono inviati in testo normale. Dal momento che “questi cookies sembrano contenere informazioni di sessione”, possono essere replicati per più di una sessione stabilita su LinkedIn.

La scadenza della sessione, forse, è un problema più serio. Dato che il cookie rimane su un pc dopo che  una sessione è terminata, un utente malintenzionato potrebbe utilizzare il cookie di qualcun altro per ristabilire una connessione al proprio account (un esempio evidente è l’accesso a computer di un collega di lavoro).

Quando Narang ha identificato questo difetto, i cookie sono stati modificati per rimanere validi per un anno invece di essere eliminata al termine di una sessione. “Come risultato, in appena 15 minuti, sono stato  in grado di accedere a più account attivi appartenenti a persone provenienti da diverse regioni del mondo”, ha scritto Narang.

Narang dice che il cookie può essere distrutto solo se un utente modifica la password di LinkedIn, con un log out, e accede con la nuova password.

LinkedIn ha risposto che si tratta di affrontare solo la persistenza dei cookie, che si ridurrà a 90 giorni, e raccomanda l’utilizzo di reti WiFi criptate o VPN per l’accesso. La sua risposta, sbalorditiva è questa:

“Sia che siate su LinkedIn o qualsiasi altro sito, è sempre una buona idea scegliere di fiducia e le reti WiFi criptati o VPN, quando possibile.” “Se uno non è disponibile, abbiamo già il supporto SSL per i login e le altre pagine web riservate. Ora, stiamo accelerando i nostri piani attuali di estendere questo supporto SSL in tutto il sito su una base opzionale. E, stiamo andando a ridurre la durata del cookie in questione da 12 mesi a 90 giorni.” E continua,  “LinkedIn prende la privacy e la sicurezza dei nostri membri sul serio,  cercando di fornire un ottimo utilizzo del sito, e crediamo che queste due modifiche ci consentiranno di raggiungere questo equilibrio.”

Contenti loro.