Un investigador privado ha encontrado una vulnerabilidad de la popular red social profesional LinkedIn, poco tiempo despuรฉs de que la empresa protagonizara la mejor entrada en Bolsa de una compaรฑรญยญa desde el aรฑo 2000. La vulnerabilidad afectarรญยญa a una cookie que se forma a la hora de acceder a la red social, y que permitirรญยญa a otros acceder a la cuenta de LinkedIn con las credenciales de las potenciales vรญยญctimas.
El caso es que esta vulnerabilidad afecta a una cookie que se forma a la hora de iniciar la sesiรณn en LinkedIn que tiene por nombre โLEO_AUTH_TOKENโย. Una cookie es un pequeรฑo archivo con el que funcionan la mayor parte de las pรกginas web y que guarda algunos datos del usuario y de la pรกgina como preferencias o inicios de sesiรณn, de forma que no es necesario volver a cargar dichos datos. Esto agiliza la conexiรณn pero tambiรฉn es muy utilizado por las empresas de publicidad para poder lanzar ofertas personalizadas (una vez estuve buceando por la red para regalarle a mi pareja un conjunto de ropa interior y durante varios meses estuve encontrando los mismos anuncios de una conocida marca de ropa interior en las pรกginas mรกs insospechadas).
El problema de la cookie de LinkedIn es, segรบn el investigador privado Rishi Narang,ย que su supervivencia es de un aรฑo entero, cuando lo normal es que el tiempo sea de 24 horas para las pรกginas comerciales y de 5 o 10 minutos de inactividad en la banca online. Esto puede permitir a los cibercriminales rastrear en el ordenador de la vรญยญctima en busca de esta cookie y utilizarla para entrar sin necesidad de escribir ninguna contraseรฑa o nombre de usuario, ya que ademรกs no estรก encriptada.
Pero el verdadero problema sucede cuando el usuario se conecta a LinkedIn a travรฉs de una Wi-Fi pรบblica, ya que la cookie queda almacenada en el ordenador y cualquier usuario que acceda a la misma podrรญยญa conectarse utilizando la cookie en cuestiรณn. La red social profesional ha anunciado que tomarรก medidas para mejorar la seguridad de la pรกgina, aunque todavรญยญa no se han lanzado soluciones concretas.
