Duração do cookie pode expor usuários.
O site de redes sociais para profissionais LinkedIn apresenta falhas de segurança que podem tornar as contas de seus usuários vulneráveis a ataques em invasões que nem mesmo precisam de senha, segundo o pesquisador Rishi Narang, de Nova Délhi, na Índia.
As notícias deste problema surgiram no final de semana, poucos dias depois que esta mídia social fez sua oferta pública inicial de ações, que teve pouco mais de 100% em sua cotação de abertura, similar aos altos investimentos na internet do final dos anos 1990.
O estudioso independente de segurança avalia que o problema está relacionado à maneira pela qual o LinkedIn administra um tipo comumente usado de arquivo de dados conhecido como cookie.
Depois que um usuário insere seu nome e senha para acesso a uma conta, a mídia social criaria o cookie “LEO_AUTH_TOKEN” no computador do usuário, que pode funcionar como uma chave para acesso à senha.
Muitos sites usam cookies, mas o do LinkedIn só expira um ano depois de sua data de criação, segundo Narang. O problema neste link. A maioria dos sites comerciais em geral usa cookies de acesso que expiram em um dia ou menos, se o usuário fizer log off antes do final desse prazo.
Os cookies dos sites de bancos expiram depois de cinco ou 10 minutos de inatividade. O Google oferece aos usuários o uso de cookies que permite passar diversas semanas conectados, mas possibilita que o usuário decida primeiro.
A longa duração do cookie do LinkedIn permitiria que qualquer pessoa que obtenha o arquivo possa carregá-lo em seu computador e ganhar acesso à conta do usuário por até um ano. A empresa informou que está tomando providências para proteger as contas de seus usuários.
