В социальной сети LinkedIn, предназначенной для установления и поддержания деловых контактов, обнаружилась уязвимость, которая позволяет злоумышленникам получить доступ к пользовательскому аккаунту, не зная пароля, пишет на своем сайте независимый индийский специалист по интернет-безопасности Риши Наранг (Rishi Narang).

Как утверждает Наранг, уязвимость связана с тем, как LinkedIn управляет cookie-файлами. Дело в том, что файл под названием LEO_AUTH_TOKEN, в котором содержится информация об идентификационных данных, хранится на компьютере пользователя в течение года. Благодаря такой схеме, владелец компьютера может не вводить постоянно свой пароль при входе в соцсеть. Однако cookie-файл, как считает Наранг, может быть легко перехвачен злоумышленниками, что и приведет к несанкционированному доступу к аккаунту.

Для сравнения, cookie-файлы с информацией для доступа на большинство коммерческих сайтов удаляются через 24 часа или даже раньше, если пользователь заходит на сайт впервые, утверждает индийский специалист. У банковских сайтов аналогичный показатель составляет всего 5-10 минут, а в случае сервисов Google файлы с паролем могут храниться несколько месяцев, но это происходит только с согласия пользователя.

Как сообщает агентство Рейтер, представители LinkedIn уже работают над исправлением данной уязвимости.