Secondo alcuni ricercatori, la durata temporale del cookie sarebbe troppo elevata: anche cambiando le credenziali, il vecchio cookie resta valido garantendo all’aggressore pieno accesso all’account.
LinkedIn è stato oggetto di alcune critiche relativamente alle modalità con cui vengono gestiti i cookie.
Rishi Narang, ricercatore indipendente, sostiene che LinkedIn avrebbe impostato una scadenza dei cookie troppo avanti nel tempo.
Dopo aver effettuato il login sulla piattaforma sociale, infatti, inserendo le credenziali d’accesso corrette (nome utente e password), i server di LinkedIn creano un cookie – denominato LEO_AUTH_TOKEN – sul sistema dell’utente. Tale oggetto viene utilizzato come chiave per garantire l’accesso all’account senza dover digitare nuovamente username e password.
Sebbene siano molti i siti web ad utilizzare, com’è ovvio, un approccio similare, Narang contesta la data di scadenza del cookie di LinkedIn che ha una durata pari addirittura ad un anno.
Allorquando ci si dovesse collegare ad una rete potenzialmente utilizzata anche da parte di malintenzionati, questi ultimi potrebbero agevolmente catturare il contenuto del cookie ed effettuare il login su LinkedIn come si trattasse di un altro utente. Ciò senza conoscere nome utente e password corretti. “Anche cambiando la password e tutte le impostazioni offerte dalla piattaforma“, ha aggiunto il ricercatore, “il vecchio cookie resta sempre e comunque valido garantendo all’aggressore pieno accesso agli account altrui“.
La sottrazione del contenuto dei cookie può avvenire da qualunque sistema collegato alla medesima rete locale (sia cablata che wireless) usando un qualunque software di “packet sniffing“. WireShark è probabilmente uno dei software più efficaci ed allo stesso tempo più semplici da usare per lo “sniffing” dei pacchetti dati anche se il problema è stato ampiamente riportato in auge, di recente, dagli autori di Firesheep.
LinkedIn, da parte sua, ha già dichiarato di aver cominciato a mettere in campo i primi passi per mettere in sicurezza gli account degli utenti registrati. Per il momento, i tecnici della piattaforma hanno invitato ad utilizzare sempre reti wireless sicure ed eventualmente ad attivare connessioni VPN ove possibile.
Il protocollo SSL è al momento utilizzato per lo scambio di informazioni sensibili quali, ad esempio, le credenziali di login ma i token di accesso sono ancora veicolati “in chiaro”. LinkedIn non si è però espressa circa le accuse sollevate da Narang per ciò che concerne la durata del cookie.