Mobiel securitybedrijf Zimperium legt de vinger bij LinkedIn op de zere plek. Het zakelijke sociale netwerk werkt nog altijd aan een volwaardige versleuteling van zijn dienst. Volgens LinkedIn loopt alles op rolletjes, maar Zimperium stelt in een blogpost dat het kapen van accounts door middel van SSL-stripping nog altijd relatief eenvoudig is.

SSL-stripping

Die manier van kapen betreft een a man-in-the-middle aanval. Dat kan bijvoorbeeld wanneer er gebruikt wordt gemaakt van publieke WiFi-hotspot. De gebruikte techniek heet SSL-stripping, waarbij een HTTPS-verbinding door de aanvaller wordt omgezet in een HTTP-verbinding. Voor deze vorm van inbraak zijn automatische tools beschikbaar.

De aanval is mogelijk omdat LinkedIn niet alle gebruikerssessies volledig versleuteld. LinkedIn gebruikt wel altijd een SSL-verbinding bij het inloggen, maar in sommige regio's van de wereld gaat deze verbinding vervolgens direct over op het onversleutelde http. In Europa en de VS is dat niet het geval.

'Geen impact'

LinkedIn reageert luchtig op de aantijgingen van Zimperium. "Deze kwestie heeft geen impact op de overgrote meerderheid van onze gebruikers gezien onze voortdurende wereldwijde release van default https", aldus een woordvoerster tegenover PCWorld.

Het bedrijf werk hier dus aan, maar de klus is nog niet geklaard. In een blogpost van december omschreef LinkedIn de beren op de weg: onder meer latency en scaling zorgt voor problemen. Ter vergelijking: Gmail biedt bij Gmail sinds 2008 een volledige https-verbinding, maar deed dit pas 2 jaar later default. Facebook kent sinds januari 2011 default https.

Verborgen functie

Sinds 2012 hebben overigens alle gebruikers van LinkedIn de optie om altijd een beveiligde https-verbinding te gebruiken, maar deze instelling zou bij het grote publiek onbekend zijn.