Categories: TLC-ICT

LINKEDIN A RISCHIO “DIROTTAMENTO” A CAUSA DI COOKIE NON SICURI

Il social network tra i più quotati nell’entourage dei professionisti nel mondo, da poco entrato in borsa, è da alcuni giorni al lavoro per rimediare alla vulnerabilità dei propri sistemi di sicurezza. Tutto nasce da una segnalazione inoltrata da un ex consulente della società di analisi Deloitte & Touche ed ora ricercatore in sicurezza informatica, Rishi Narang. L’esperto avrebbe riscontrato un difetto di autenticazione nei sistemi della nota piattaforma che esporrebbe gli utenti, iscritti al servizio, al rischio di hidjacking, ovvero una tecnica che consente ai malintenzionati di turno di modificare i pacchetti dei protocolli TCP/IP, dirottando i collegamenti ai propri siti così da assumerne il controllo. Spesso il browser hijacking risulta un metodo funzionale all’incremento artificioso del numero di accessi e click diretti ad un sito per garantire ulteriori entrate provenienti dalle inserzioni pubblicitarie. Sfruttando un bug attraverso il redirect lato server è possibile cioè sostituirsi al malcapitato sito preso letteralmente in ostaggio, pilotandolo a proprio piacimento. Nel caso di Linkedin, basterebbe intercettare i cookie di sessione trasmessi in chiaro ad ogni processo di login degli utenti proprio perché, tali cookie, risulterebbero autenticati solo parzialmente attraverso il protocollo cifrato in HTTPS. Una circostanza che renderebbe ancora più semplice entrare in un profilo ed agire indisturbati sul network prendendo in prestito l’identità dell’utente violato ed ignaro di tutto. In appena 15 minuti – spiega Rishi Narang – sono riuscito ad accedere a diversi account appartenenti a individui localizzati in posti diversi. Un malintenzionato può “sniffare” i cookie attraverso l’intercettazione di una sessione, dove essi vengono trasmessi in chiaro, quindi usarli per autenticare la propria postazione, modificando o compromettendo le informazioni memorizzate nel profilo”. Ancor di più se gli stessi cookie (denominati LEO_AUTH_TOKEN) creati dai server di Linkedin sul sistema dell’utente, hanno una data di scadenza addirittura pari ad un anno. “Anche cambiando la password e tutte le impostazioni offerte dalla piattaforma”, ha aggiunto Narang, “il vecchio cookie resta sempre e comunque valido garantendo all’aggressore pieno accesso agli account altrui”. La piattaforma non ha ancora dichiarato nulla riguardo l’eccessiva validità temporale dei token di accesso, ma si è limitata ad invitare i propri iscritti ad utilizzare sempre reti wireless sicure ed eventualmente attivare connessioni VPN ove fosse possibile. Forse le ammissioni anche parziali del problema da parte dei vertici della società potrebbero costare troppo, specie dopo il via dell’IPO (offerta al pubblico dei titoli della società) dei giorni scorsi che ha immesso sul mercato 8.74milioni di azioni a 45 dollari l’una (fino ad arrivare a 92,99 dollari), raggiungendo un valore di mercato di 8,4 miliardi di dollari pari cioè a circa 22 volte i ricavi stimati per il 2011, a fronte di 100milioni di utenti business fruitori del social network. La prudenza, in questi casi, non è mai troppa.
Manuela Avino

editoriatv

Recent Posts

Il monito di Piantedosi: “Intelligenza artificiale non sia strumento per criminalità”

Il ministro degli Interni Matteo Piantedosi teme che l’intelligenza artificiale possa trasformarsi in un “pericoloso…

3 ore ago

A Il Tirreno il premio Digital News 2024

Oggi alle 18 in piazza Venezia a Roma Il Tirreno sarà premiato con il Digital…

4 ore ago

Barachini: “I giornali locali vanno aiutati anche dai grandi”

Il sottosegretario all’Editoria Alberto Barachini conferma di essere “un grandissimo fautore dei finanziamenti pubblici” all’editoria…

1 giorno ago

I giornalisti sfiduciano il direttore di Oggi Andrea Biavardi

C’è maretta al settimanale Oggi: i giornalisti hanno sfiduciato il direttore Andrea Biavardi, subentrato a…

3 giorni ago

Contributi alle assunzioni 2023, ecco tutti i beneficiari

Facendo seguito alla nostra circolare n. 25/2024 segnaliamo che con Decreto del Capo del Dipartimento…

4 giorni ago

Askanews, i giornalisti dicono sì ai prepensionamenti

Fumata bianca ad Askanews: l’assemblea dei giornalisti dà il via libera alla proposta di prepensionamenti.…

5 giorni ago