Il social network tra i più quotati nell’entourage dei professionisti nel mondo, da poco entrato in borsa, è da alcuni giorni al lavoro per rimediare alla vulnerabilità dei propri sistemi di sicurezza. Tutto nasce da una segnalazione inoltrata da un ex consulente della società di analisi Deloitte & Touche ed ora ricercatore in sicurezza informatica, Rishi Narang. L’esperto avrebbe riscontrato un difetto di autenticazione nei sistemi della nota piattaforma che esporrebbe gli utenti, iscritti al servizio, al rischio di hidjacking, ovvero una tecnica che consente ai malintenzionati di turno di modificare i pacchetti dei protocolli TCP/IP, dirottando i collegamenti ai propri siti così da assumerne il controllo. Spesso il browser hijacking risulta un metodo funzionale all’incremento artificioso del numero di accessi e click diretti ad un sito per garantire ulteriori entrate provenienti dalle inserzioni pubblicitarie. Sfruttando un bug attraverso il redirect lato server è possibile cioè sostituirsi al malcapitato sito preso letteralmente in ostaggio, pilotandolo a proprio piacimento. Nel caso di Linkedin, basterebbe intercettare i cookie di sessione trasmessi in chiaro ad ogni processo di login degli utenti proprio perché, tali cookie, risulterebbero autenticati solo parzialmente attraverso il protocollo cifrato in HTTPS. Una circostanza che renderebbe ancora più semplice entrare in un profilo ed agire indisturbati sul network prendendo in prestito l’identità dell’utente violato ed ignaro di tutto. In appena 15 minuti – spiega Rishi Narang – sono riuscito ad accedere a diversi account appartenenti a individui localizzati in posti diversi. Un malintenzionato può “sniffare” i cookie attraverso l’intercettazione di una sessione, dove essi vengono trasmessi in chiaro, quindi usarli per autenticare la propria postazione, modificando o compromettendo le informazioni memorizzate nel profilo”. Ancor di più se gli stessi cookie (denominati LEO_AUTH_TOKEN) creati dai server di Linkedin sul sistema dell’utente, hanno una data di scadenza addirittura pari ad un anno. “Anche cambiando la password e tutte le impostazioni offerte dalla piattaforma”, ha aggiunto Narang, “il vecchio cookie resta sempre e comunque valido garantendo all’aggressore pieno accesso agli account altrui”. La piattaforma non ha ancora dichiarato nulla riguardo l’eccessiva validità temporale dei token di accesso, ma si è limitata ad invitare i propri iscritti ad utilizzare sempre reti wireless sicure ed eventualmente attivare connessioni VPN ove fosse possibile. Forse le ammissioni anche parziali del problema da parte dei vertici della società potrebbero costare troppo, specie dopo il via dell’IPO (offerta al pubblico dei titoli della società) dei giorni scorsi che ha immesso sul mercato 8.74milioni di azioni a 45 dollari l’una (fino ad arrivare a 92,99 dollari), raggiungendo un valore di mercato di 8,4 miliardi di dollari pari cioè a circa 22 volte i ricavi stimati per il 2011, a fronte di 100milioni di utenti business fruitori del social network. La prudenza, in questi casi, non è mai troppa.
Manuela Avino