В программном обеспечении сети LinkedIn найдена уязвимость безопасности

Александр Панасенко 23 Мая 2011 - 13:26

...

Профессиональная социальная сеть LinkedIn имеет в своем программном обеспечении ряд уязвимостей, ставящих под угрозу пользовательские аккаунты и позволяющих потенциальным взломщикам получать доступ к данным участников LinkedIn без соответствующего разрешения. Об этом сообщают независимые индийские ИТ-специалисты, работающие в рамках проекта WTFuzz.

Риши Наранг, независимый ИТ-специалист, говорит, что технически уявзимость связана с файлами-идентификаторами, так называемыми cookie, которые выдаются пользовательскому браузеру для идентификации со стороны самой LinkedIn как легитимного пользователя. Проблема заключается в том, что серверное ПО создает cookie под общим именем LEO_AUTH_TOKEN, который действует без истечения целый год, передает cybersecurity.

Наранг говорит, что подавляющее большинство сайтов сейчас выдают клиентским компьютерам cookie для идентификации, но большинство этих файлов имеют срок истечения от 30 до 180 минут, после чего клиенту необходимо авторизоваться повторно. По непонятным причинам у LinkedIn срок жизни cookie был увеличен до 1 года.

По словам Наранга, cookie с большим сроком жизни - это удобно для легитимного пользователя, так как позволяет ему избегать лишних вводов логинов и паролей, но с другой стороны перехват таких файлов дает все эти преимущества хакеру. Дополнительную угрозу создает и тот факт, что передаются cookie по открытым каналам связи, без какого-либо шифрования.

Технически, говорят индийские специалисты, верным решением было бы как минимум сократить срок жизни cookie до 30-60 минут, а также предоставить пользователям на выбор возможность входа через систему SSL.

Наранг говорит, что многие сайты имеют не совсем корректно выставленное время жизни cookie, однако в случае в LinkedIn эта проблема приобретает острый характер ввиду того, что пользователи этой сети оставляют здесь массу своих персональных и деловых данных.

Следующая главная новость »

Самые свежие новости ИТ и ИБ. Обзоры, аналитика, анонсы главных ивентов отрасли.
Подписывайтесь на телеграм-канал!

Екатерина Быстрова 30 Апреля 2026 - 14:00

Информационные войны Домашние пользователи Государство CloudFlare

Cloudflare выдал мессенджеру МАКС метку шпионского приложения

В Сети появилась информация о том, что мессенджер МАКС якобы получил у Cloudflare статус шпионского приложения. Если такая классификация действительно появилась, это могло бы стать серьёзным репутационным ударом для сервиса: подобные метки учитываются системами безопасности, фильтрации трафика и корпоративной защиты.

В открытых источниках есть обсуждения сетевой активности МАКС, а также жалобы на связанные сервисы в Cloudflare Community, но они не доказывают, что мессенджер официально внесён в категорию spyware.

Такая осторожность важна: статус шпионского софта — не просто оценочное слово, а серьёзная техническая и репутационная метка. Она может повлиять на доверие пользователей, отношение ИБ-специалистов и решения платформ, через которые распространяется приложение.

Пока представители МАКС и Cloudflare публично не прокомментировали ситуацию, говорить о санкциях со стороны магазинов приложений или массовой блокировке трафика преждевременно.

Но сам факт появления таких сообщений показывает, что к безопасности и сетевому поведению национального мессенджера сохраняется повышенное внимание.

Пресс-служба VK дала нашему изданию развернутый комментарий:

«Классификация Cloudflare вызвана неверной интерпретацией заголовков запросов к сервисам обыкновенной веб-аналитики сайта max.ru, а не на фактическом анализе кода. MAX регулярно проходит аудиты безопасности, работает с исследователями через программу Bug Bounty и имеет собственный центр безопасности для защиты пользователей от реальных угроз. Все данные пользователей МАХ надежно защищены».

Ранее та же история коснулась Telega.