Der mit börsenambitionen augestestatte und vor allem in den USA populäre Xing-Konkurrent „LinkedIn“, hat mit einer gefährlichen Sicherheitslücke in seinem Karriere-Portal zu kämpfen. Entdeckt wurde die Lücke vom indischen Sicherheitsexperten Rishi Narang.
Das Problem besteht dabei in unverschlüsselten Cookies, die es Dritten ermöglichen, die Profildaten von Nutzern auszuspionieren. Cookies („Kekse“) sind Minidateien zur Kurzzeitspeicherung von Logindaten und verhindern, dass sich der Nutzer bei jedem Aufruf einer neuen Seite erneut anmelden muss.
So weit so praktisch. Eine solche Komfortfunktion möchte sicher niemand missen. Doch normalerweise werden diese Daten nach 24 Stunden gelöscht. Nicht so bei LinkedIn. Dort behalten sie ein Jahr lang ihre Gültigkeit. Zudem sind Cookies bei vielen Seiten verschlüsselt. Bei LinkedIn dagegen, können sie von jedem ausgelesen werden. Besonders an öffentlichen PC’s wie sie in Internetcafes stehen, oder mittels unverschlüsselter WLAN Verbindungen (öffentliche HotSpots an Bahnhöfen oder Hotels, etc.) sind die Daten ein gefundenes Fressen für Profilschmarotzer.
LinkedIn hat angekündigt den Fehler in den nächsten Monaten zu beheben. Bis dahin empfehlen die Betreiber, die Seite nur über verschlüsselte WLAN-Verbindungen aufzurufen. Wer einen Verdacht auf den Missbrauch seines Accounts hat, kommt nicht um eine Neuanmeldung herum. Die alleinige Änderung des Passworts bewirkt nichts.
Fazit:
Gerade ein Unternehmen, dass eine Dienstleistung im Businnessbereich anbietet hat eine besondere Verantwortung für die Daten seiner Nutzer. Immerhin geht es hier nicht um das Lieblingsessen oder den Tennisverein, sondern mitunter um Existenzen. Auch kann hier nicht angenommen werden, dass es sich um ein blauäugiges Hobbyprojekt handelt, dem man vielleicht solche Fehler zugestehen könnte. Wer sich für den Börsensprung bereit macht, sollte zunächst einmal seine Basis – Die Nutzer! – absichern. Besonders erschreckend ist dabei, dass man sich Monate Zeit lassen will um diesen Fehler zu beheben. Google hatte ein ähnliches Problem mit seinem Android Browser in wenigen Tagen bewältigt. Ob LinkedIn so in einem datenschutzbetonten Land wie Deutschland Fuss fassen wird, bleibt zweifelhaft.
Quellen: ZD.Net und Virenschutz.info