Nach Börsengang Experte warnt vor Sicherheitslücke bei LinkedIn
Sicherheitsproblem Cookie: LinkedIn-Zugangsdaten werden zulange gespeichert
Nur wenige Tage nach dem Börsengang des Unternehmens schreckt eine Warnmeldung die Mitglieder des Sozialen Netzwerks LinkedIn auf: Hacker könnten einfach in die Profile von Nutzern eindringen, benötigten dafür nicht einmal ein Passwort, sagte der indische Sicherheitsexperte Rishi Narang am Sonntag der Nachrichtenagentur Reuters. Schuld an dem Fehler sein ein sogenannter Cookie, eine kleine Datei, in der die Website des Netzwerks in diesem Fall die Zugangsdaten des jeweiligen Nutzers speichert.
Solche Cookie-Dateien haben ein eingebautes Verfallsdatum, das je nach Anwendung unterschiedlich ausfällt. Beim Online-Banking etwa verlieren Cookies meist bereits ihre Gültigkeit, wenn man einige Minuten lang inaktiv war, so dass man sich erneut einloggen muss. Andere Cookies sind oft für ein paar Stunden oder etwa einen Tag gültig. Generell gilt, dass sie üblicherweise entwertet werden, wenn man sich von der jeweiligen Website abmeldet.
An eben diese Standards halte sich LinkedIn leider nicht, bemängelt nun Narang. Er hat die sogenannte Session ID und einen Cookie mit dem Titel LEO_AUTH_TOKEN analysiert und festgestellt, dass diese Dateien ein Sicherheitsrisiko darstellen. Beide Dateien würden im Klartext, unverschlüsselt gespeichert und übertragen, schreibt er in seinem Blog. Ein Hacker könnte demnach einfach den Datenverkehr seines Opfers abhören, um die beiden Dateien zu kapern.
LinkedIn verspricht zusätzliche Sicherheit
Zudem sei der Cookie, in dem die Zugangsdaten für LinkedIn gespeichert werden, mit einer Gültigkeit von einem Jahr versehen - und das könnte fatale Folge haben. Denn, so erklärt es der Sicherheitsexperte, selbst wenn man sein LinkedIn-Passwort während dieses Zeitraumes ändern würde, hätte eine Hacker, der sich die Cookie-Dateien verschafft hat, immer noch Zugang zu dem Nutzerkonto. Er könnte also nach Belieben Daten aus dem Account des jeweiligen Anwenders kopieren oder verändern. Er selbst habe mehrer LinkedIn-Accounts von Anwendern aus aller Welt auf diese Weise übernommen, um seine Theorie zu bestätigen, sagt Narang.
Die einzige Möglichkeit, um einen Angreifer tatsächlich aus seinem LinkedIn-Account auszusperren bestünde derzeit darin, den Account komplett zu schließen und sich danach erneut, mit derselben E-Mail-Adresse, bei LinkedIn anzumelden. Auf diese Weise würden die Zugangsdaten in einem gestohlenen Cookie ungültig und wertlos.
LinkedIn hat in einem Statement bereits auf Narangs Vorwürfe reagiert und erklärt, man arbeite bereits daran, den Umgang mit den fraglichen Cookies zu ändern. Künftig solle man als LinkedIn-Anwender einstellen können, dass diese Cookies verschlüsselt, über sogenannte SSL-Verbindungen, übertragen würden, wodurch sie zumindest theoretisch abhörsicher würden. Ein genaues Datum für die Einführung dieser neuen Funktionen nannte das Unternehmen aber nicht, versprach nur, es werde "in den nächsten Monaten" soweit sein.
Anders als beispielsweise Facebook oder StudiVZ ist LinkedIn darauf spezialisiert, berufliche Kontakte zu pflegen und neue zu knüpfen. Der Service wird in sechs Sprachen angeboten. Die Zahl seiner Mitglieder gibt das Netzwerk mit hundert Millionen weltweit an. Am vergangenen Freitag war das Unternehmen als erstes der großen Social Networks an die Börse gegangen. Bereits am ersten Tag verdoppelte sich der Wert des Unternehmens durch den Aktienhandel, lag kurzzeitig bei zwölf Milliarden Dollar.
