'Inloggegevens LinkedIn onvoldoende beveiligd'
AMSTERDAM – LinkedIn slaat cookies met de inloggevens van gebruikers een jaar lang op. Bovendien zijn deze bestanden niet beveiligd via SSL.
Foto: ANP:
Dat heeft Rishi Narang, een Indiase veiligheidsonderzoeker, ontdekt. Hij legt in een gesprek met Reuters uit wat het probleem is en legt in een blog de technische details uit.
Volgens Narang gaat het vooral om het feit dat een bestand waarin de inloggegevens van een gebruiker worden opgeslagen, een jaar lang bewaard wordt. Bij andere sites gaat het vaak om 24 uur, of soms zelfs minder.
Bij bijvoorbeeld Google kunnen gebruikers zelf kiezen hoelang het bestand moet worden opgeslagen. Zolang de cookies opgeslagen zijn, hoeven gebruikers niet opnieuw in te loggen, maar wordt automatisch ingelogd bij een bezoek aan de website.
Reactie
LinkedIn wil tegenover Reuters niet uitleggen waarom de cookies een jaar worden opgeslagen. Feit is dat wanneer het bestand in handen van kwaadwillenden is, deze een jaar lang toegang krijgen tot het account van de betreffende gebruiker.
De zakelijke netwerksite stelt in een reactie dat het al stappen onderneemt om de accounts van gebruikers te beveiligen. “We nemen privacy en veiligheid erg serieus en raden mensen aan om op een beveiligde verbinding of via privénetwerken te internetten.”
SSL
Bovendien benadrukt LinkedIn dat het SSL, een veiligheidsprotocol, ondersteunt om zo bepaalde gevoelige data te beschermen. Narang ontdekte echter dat het bestand met de inloggegevens niet via SSL beveiligd is.
Het is daarom veel gemakkelijker de gegevens in het bestand te achterhalen, bijvoorbeeld via zogenoemde sniffingprogramma’s, waarmee internetverkeer afgetapt wordt. Deze programma’s zijn vrij eenvoudig te verkrijgen en gebruiken.
De netwerksite laat weten bezig te zijn met SSL-ondersteuning voor andere delen van de website dan nu het geval is. Het moet binnen enkele maanden mogelijk zijn om de inlogbestanden te beveiligen volgens het protocol.
Startpagina