El sitio web de la red profesional LinkedIn tiene una serie fallos de seguridad que hacen que las cuentas de los usuarios sean vulnerables a los ataques de hackers que podrían penetrar sin necesidad de contraseñas, según asegura un investigador de seguridad que identificó el problema.
La noticia sobre la vulnerabilidad del sitio surgió este fin de semana, sólo días después de que LinkedIn Corp. hiciera público su debut en la Bolsa, que recuerda al auge de la inversión ´dot.com´ de la década de 1990.
Rishi Narang, un investigador independiente de seguridad de Internet, quien tiene sede en Nueva Delhi (India), fue él que descubrió el fallo de seguridad, y dijo a Reuters que el problema está relacionado con la forma en que LinkedIn maneja un tipo de uso de datos de archivos conocidos como ´cookies´.
´COOKIE´ INUSUAL
Cuando un usuario introduce el nombre de usuario correcto y la contraseña para acceder a una cuenta, el sistema de LinkedIn crea la ´cookie' "LEO_AUTH_TOKEN" en la computadora del usuario que sirve como una clave para acceder a la cuenta.
Muchos de los sitios web utilizan ´cookies´, pero lo que hace que la ´cookie´ de LinkedIn sea inusual es que no tiene vencimiento hasta un año después a partir de la fecha de su creación, dijo Narang.
Detalló la vulnerabilidad en un mensaje en su blog www.wtfuzz.com el sábado.
Normalmente, la mayoría de sitios web comerciales diseñan sus ´cookies token´ de acceso para que expiren cada 24 horas, o incluso antes, dijo Narang.
Hay algunas excepciones: los sitios de registro de usuarios de bancos expiran después de 5 o 10 minutos de inactividad. Google da a sus usuarios la opción de usar ´cookies´ que los mantienen conectados durante varias semanas, pero permite al usuario que sea él en primer lugar quien decida si quiere usarlas o no.
TOMANDO PREVISIONES
La larga vida de la ´cookie´ de LinkedIn significa que cualquier persona que se apodera de ese archivo puede cargarlo en una PC y acceder fácilmente a la cuenta del usuario original durante un año. La empresa emitió un comunicado asegurando que ya está tomando medidas para proteger las cuentas de sus clientes. "LinkedIn se toma la privacidad y seguridad de nuestros miembros muy en serio", dice el comunicado.
Agrega éste que si usted utiliza LinkedIn o cualquier otro sitio, siempre es una buena idea escoger redes de confianza y/o redes Wi-Fi cifradas o VPN (redes privadas virtuales), siempre que sea posible.
La compañía aseguró que en la actualidad soporta SSL, o Secure Sockets Layer, la tecnología de encriptación de ciertos datos personales confidenciales, incluyendo las cuentas de acceso. Pero estas 'cookies token´ de acceso aún no están codificadas con SSL. Eso hace que sea posible que los hackers puedan robar las ´cookies´ utilizando herramientas ampliamente disponibles para rastrear el tráfico de Internet, dijo Narang.
LinkedIn, dijo en su declaración que se está preparando para ofrecer "opt-in", el soporte SSL para otras partes del sitio, una opción que cubre el cifrado de las ´cookies´. La compañía dijo que espera que esté disponible "en los próximos meses".
Fuente: Reuters / Inside Telecom
News
Sent from my BlackBerry from VIVA
Comentarios