В программном обеспечении сети LinkedIn найдена уязвимость безопасности

Александр Панасенко 23 Мая 2011 - 13:26

...

Профессиональная социальная сеть LinkedIn имеет в своем программном обеспечении ряд уязвимостей, ставящих под угрозу пользовательские аккаунты и позволяющих потенциальным взломщикам получать доступ к данным участников LinkedIn без соответствующего разрешения. Об этом сообщают независимые индийские ИТ-специалисты, работающие в рамках проекта WTFuzz.

Риши Наранг, независимый ИТ-специалист, говорит, что технически уявзимость связана с файлами-идентификаторами, так называемыми cookie, которые выдаются пользовательскому браузеру для идентификации со стороны самой LinkedIn как легитимного пользователя. Проблема заключается в том, что серверное ПО создает cookie под общим именем LEO_AUTH_TOKEN, который действует без истечения целый год, передает cybersecurity.

Наранг говорит, что подавляющее большинство сайтов сейчас выдают клиентским компьютерам cookie для идентификации, но большинство этих файлов имеют срок истечения от 30 до 180 минут, после чего клиенту необходимо авторизоваться повторно. По непонятным причинам у LinkedIn срок жизни cookie был увеличен до 1 года.

По словам Наранга, cookie с большим сроком жизни - это удобно для легитимного пользователя, так как позволяет ему избегать лишних вводов логинов и паролей, но с другой стороны перехват таких файлов дает все эти преимущества хакеру. Дополнительную угрозу создает и тот факт, что передаются cookie по открытым каналам связи, без какого-либо шифрования.

Технически, говорят индийские специалисты, верным решением было бы как минимум сократить срок жизни cookie до 30-60 минут, а также предоставить пользователям на выбор возможность входа через систему SSL.

Наранг говорит, что многие сайты имеют не совсем корректно выставленное время жизни cookie, однако в случае в LinkedIn эта проблема приобретает острый характер ввиду того, что пользователи этой сети оставляют здесь массу своих персональных и деловых данных.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Яков Шпунт 18 Марта 2026 - 11:50

Соответствие законодательству РФ Общее Системы контентной веб-фильтрации

Отраслевые ассоциации просят сохранить доступ к зарубежным мессенджерам

Ассоциация разработчиков программных продуктов (АРПП) «Отечественный софт» обратилась в правительство с просьбой сохранить возможность рабочей коммуникации через мессенджеры WhatsApp и Telegram. Соответствующее письмо исполнительный директор АРПП Ренат Лашин направил ещё в феврале.

Как отметил сам Ренат Лашин в комментарии для «Ведомостей», ограничения в работе наиболее популярных зарубежных мессенджеров создают серьёзные препятствия для компаний-экспортёров.

В ассоциации предложили определить круг организаций, для которых такие каналы связи критически важны для взаимодействия с зарубежными партнёрами.

Глава другой отраслевой ассоциации — НП «Руссофт», состав которой во многом пересекается с АРПП, Леонид Макаров в своём официальном телеграм-канале привёл результаты опроса, согласно которым ограничения в работе Telegram создают неудобства для 90% участников ассоциации.

В комментарии для «Ведомостей» Минцифры предложило использовать мессенджер MAX. Однако, как отметил Леонид Макаров, у этого решения есть два существенных недостатка: отсутствие ряда необходимых функций и недостаточная санкционная устойчивость. В результате, по его словам, зарубежные партнёры могут склонять российских экспортёров к использованию других иностранных продуктов, которые также способны создавать серьёзные риски.

«В данной ситуации выходом может быть заключение соглашения между дружественными странами о применении децентрализованного решения, аналогичного электронной почте, где независимые почтовые серверы обмениваются сообщениями по стандартным протоколам, а клиентская часть имеет открытый исходный код. Клиенты в этих странах получают равные возможности для коммуникации, а сами страны несут полную ответственность за соблюдение общих стандартов безопасности и контроля», — предложил Леонид Макаров.

«Формально компании могут использовать средства обхода блокировок, — отметил в комментарии для «Ведомостей» председатель совета по противодействию технологическим правонарушениям КС НСБ России Игорь Бедеров. — Но складывается ситуация, при которой корпоративные требования безопасности запрещают это, а правила бизнеса не позволяют общаться с клиентами и заказчиками с личных устройств».

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!