Die Karriere-Webseite LinkedIn weist nach Erkenntnissen eines Computerexperten eine schwere Sicherheitslücke auf. Hacker könnten einfach in die Profile von Nutzern eindringen und benötigten dabei kein Passwort, so die Erkenntnisse des indischen Sicherheitsexperten Rishi Narang.
Im Detail erläutert er die Lücke in seinem Blog. Das Hauptproblem sind demnach die von LinkedIn verwendeten Cookies. Solche Minidateien werden von vielen Webseiten verwendet, um kurzzeitig die Login-Daten auf dem PC zu speichern. So müssen sich Nutzer von Facebook oder Ebay meist nicht erneut anmelden, wenn sie nach wenigen Minuten oder auch Stunden wieder auf die Website surfen.
In der Regel verlieren Cookies nach 24 Stunden ihre Gültigkeit. Bankkunden werden auf den Webseiten ihrer Institute oft nach fünf bis zehn Minuten ausgeloggt, wenn sie nicht mehr aktiv sind. Bei LinkedIn jedoch verfallen die Dateien erst nach einem Jahr, wie Narang erklärte.
Wenn nun ein Hacker diesen abgespeicherten Cookie auf seinen Rechner lädt, benötigt er weder Benutzername, noch Passwort, um sich in das entsprechende Profil einzuloggen. Der bis zu ein Jahr gültige Cookie erledigt diese Aufgabe, ohne dass der betroffene User davon etwas bemerkt.
Da die Cookies von LinkedIn unverschlüsselt übertragen werden, ist Narang zufolge ein Datenklau nicht schwierig. Vor allem in offenen Netzwerken, wie es sie oft in Cafés oder Bibliotheken gibt, sind die User gefährdet. Beim Login werden die Cookies vom Server auf den Rechner geschickt. Theoretisch können alle Teilnehmer im selben Netz diese Daten mitlesen. Die dafür benötigten Programme gibt es kostenlos im Internet.
Verschlüsselung erst in den kommenden Monaten
LinkedIn erklärte, man arbeite an einer Verschlüsselung für Cookies, mit der User in den kommenden Monaten rechnen könnten. Außerdem empfiehlt das Unternehmen grundsätzlich nur verschlüsselte WLAN Netzwerke oder sichere VPN-Verbindungen zu nutzen.
Am grundsätzlichen Problem ändert das aber nichts. Selbst wenn Nutzer vorsichtshalber ihr Passwort regelmäßig ändern, öffnet der weiterhin gültige Cookie den Nutzeraccount. Für Mitglieder des Netzwerks käme damit also eigentlich nur eine Löschung des alten Accounts gefolgt von einer Neuregistrierung in Frage, folgert Narang. Zur Kritik an der ungewöhnlich langen Gültigkeit der Mini-Dateien wollte sich kein LinkedIn-Verantwortlicher äußern.
LinkedIn ist ein soziales Netzwerk, auf dem Geschäftskontakte geknüpft und gepflegt werden können. Damit ähnelt es dem Karrierenetz Xing, das in Deutschland beheimatet ist. Erst vergangene Woche machte das Unternehmen mit seinem Börsengang Schlagzeilen. Die Papiere stiegen zeitweise um 171 Prozent. Einige Analysten zeigen sich misstrauisch und halten die Aktie für überbewertet.