Gefährliche Sicherheitslücke beim Karriere-Portal LinkedIn

Der indische Sicherheitsexperte Rishi Narang hat eine gefährliche Sicherheitslücke beim Online-Karriere-Portal LinkedIn ausfindig gemacht und das Unternehmen heute auf das Schlupfloch für Hacker aufmerksam gemacht. Laut Narang ist es über die Website möglich, auf private Daten in den Nutzerprofilen zuzugreifen, ohne im Besitz des entsprechenden Passworts zu sein.

Dieser Umstand ergibt sich durch falsch gesetzte LinkedIn-Cookies. Die Minidateien speichern kurzzeitig die Login-Daten, damit sich Nutzer nicht bei jedem Seiten-Besuch wieder neu einloggen müssen. Während Cookies in der Regel nach 24 Stunden ihre Gültigkeit verlieren, um keine Sicherheitslücken zu öffnen, bleiben die Dateien bei LinkedIn zwölf Monate aktiv.

LinkedIn setzt verstärkt auf Twitter

Gelangt ein Hacker in den Besitz des LinkedIn-Cookies, kann er sich also ohne große Mühe ins persönliche Profil des Betroffenen einloggen. Besonders gefährlich wird dieses Leck aufgrund der Tatsache, dass die Minidateien von LinkedIn unverschlüsselt übertragen werden. Surft ein Nutzer in offenen Netzwerken, wie beispielsweise in einem Internet-Café das Portal an, können die Cookies theoretisch von allen Netz-Teilnehmern ausgelesen werden. Entsprechende Tools sind kostenlos im Internet zu finden.

LinkedIn reagierte sofort auf das Sicherheitsleck und bestätigte, dass das Unternehmen an verschlüsselten Cookies arbeite. Ein entsprechendes Update auf LinkedIn.com sei in den nächsten Monaten zu erwarten. Bis dahin rät das Portal seinen Nutzern, das Portal über verschlüsselte WLAN-Netze anzusurfen. Laut Narang bestehe das Risiko jedoch selbst mit verschlüsselten Cookies weiter. Wer wirklich sicher gehen will, sollte sich einen neuen LinkedIn-Account anlegen und diesen künftig nur noch über sichere Verbindungen betreuen.