Hackers kunnen cookies van LinkedIn eenvoudig overnemen als zij op hetzelfde draadloze netwerk zijn ingelogd. Het zakelijke sociale netwerk laat gebruikers weliswaar inloggen via een met SSL beveiligde verbinding, maar er zitten twee beveiligingslekken in de manier waarop dat gebeurt. Daardoor zijn de cookies toch te kapen en vervolgens kan de kaper inloggen als het slachtoffer. Dat meldt de Indiase beveiligingsexpert Rishi Narang.

Geen secure flag

Allereerst geeft LinkedIn geen ‘secure flag’ mee aan het cookie dat vanaf haar met SSL beveiligde inlogpagina wordt verstuurd. Dat betekent dat het cookie ondanks de beveiliging ook in platte tekst beschikbaar is. Als de gebruiker een onbeveiligde url binnen het domein van het cookie bezoekt, worden de sessiegegevens op die manier onversleuteld over het internet verstuurd.

Als een gebruiker van het sociale netwerk eerder ingelogd is en simpelweg naar linkedin.com surft, zal hij standaard geen gebruikmaken van https. Op dat moment kan een aanvaller met behulp van software als Firesheep eenvoudig het cookie kapen en inloggen via de sessie van het slachtoffer.

Wachtwoord wijzigen helpt niet

Dat probleem wordt verergerd door de tweede bug die Narang ontdekte. Cookies voor geauthenticeerde sessies blijven namelijk altijd geldig. Ook als de gebruiker al is uitgelogd of wanneer het cookie is verlopen. De beveiligingsexpert wist op deze manier cookies van maanden oud buit te maken. Hij meldt dat gebruikers van enkele cookies waarmee hij kon inloggen al verschillende keren in- en uitgelogd waren in die periode.

Hierdoor blijven accounts, totdat LinkedIn het probleem oplost, voor altijd gekaapt. Ook het wijzigen van een wachtwoord betekent namelijk niet dat de sessie in een eventueel gekaapt cookie verloopt. Een aanvaller kan zich op die manier dus blijven authenticeren als het slachtoffer.