Falha coloca em risco utilizadores do LinkedIn

Poucos dias após a entrada em bolsa da rede social para contactos profissionais, o LinkedIn volta a concentrar em si as atenções dos media, mas desta vez por razões menos favoráveis ao serviço: uma alegada falha de segurança.

De acordo com a agência Reuters, um investigador independente na área da segurança online, em Nova Deli (Índia), alertou para uma vulnerabilidade que pode permitir o acesso às contas dos membros do LinkedIn.

Segundo explicou Rishi Narang, o problema está relacionado com a forma como o serviço gere os cookies. Depois de um utilizador introduzir as credenciais correctas para autenticação na rede social, é criado um token sob a forma de cookie, no computador do utilizador, que funciona como chave para que este aceda ao serviço.

Muitos sites recorrem a este tipo de mecanismo, mas o problema com os criados pelo LinkedIn é que só expiram ao fim de um ano, explicou o especialista. Normalmente, a validade destes ficheiros encontra-se restringida a um período de 24 horas, mas no caso dos serviços de banca online, por exemplo, estes expiram após 5 ou 10 minutos de inactividade no site.

O longo "ciclo de vida" dos cookies gerados pelo LinkedIn faz com que um hacker que obtenha acesso a esse tipo de dados, os possa usar para aceder à conta do titular dos mesmos no serviço durante o período de um ano.

Em reacção à informação veiculada, a rede social emitiu um comunicado em que garante ter uma forte preocupação com a segurança dos utilizadores e recorrer a tecnologia para assegurar essa segurança, incluindo a encriptação de dados sensíveis, como os de login.

Rishi Narang defende, no entanto, que os mecanismos actualmente utilizados pelo LinkedIn não resolvem o problema apontado.

O LinkedIn adiantou também que deverá apresentar mais medidas de segurança "nos próximos meses", mas não respondeu à crítica apontada à duração dos cookies.

Comentar este artigo »