Linked-In

23. Mai 2011 17:58; Akt: 24.05.2011 14:54 Print

Hintertür ein Jahr lang offen für Kriminelle

Das Karriere-Netzwerk LinkedIn hat ein massives Sicherheitsproblem. Hacker können ohne Passwort in die Profile eindringen. Und das ist nicht alles.

storybild

Der CEO von LinkedIn, Jeff Weiner (Mitte), beim Börsengang am 19. Mai in New York. Das Social-Media-Unternehmen soll um die acht Milliarden US-Dollar wert sein, hat allerdings mit Sicherheitslücken zu kämpfen.

Zum Thema
Fehler gesehen?

Nach Facebook, Twitter und Google steht LinkedIn am Pranger: Das Karriere-Netzwerk mit über 100 Millionen registrierten Nutzern feierte gerade erst den Börsengang, doch es gibt massive Sicherheitsprobleme.

Ein indischer Computerexperte zeigt in seinem Blog, wie Angreifer in fremde LinkedIn-Profile eindringen können - ganz ohne Passwort. Und es kommt noch schlimmer: Selbst wenn die Nutzer vorsichtshalber ihr Passwort regelmässig ändern, sind sie trotzdem lange Zeit gefährdet.

Schlüssel gestohlen

Die Angriffsmethode ist in Fachkreisen bekannt. Sie hängt mit der unverschlüsselten Datenübertragung zusammen: Anstatt durchgehend auf eine sichere Verbindung mit dem Internet-Protokoll SSL (Secure Sockets Layer) zu setzen, werden Daten unverschlüsselt gesendet. Sobald es einem Angreifer gelingt, ein sogenanntes Zugangs-Token abzufangen, erhält er unbeschränkten Zugriff auf den fremden Account. Nun kann er alle Informationen und Kontakte stehlen oder gar die fremde Identität annehmen, um Dritte zu täuschen.

Token sind vergleichbar mit Cookies. Es sind winzige Textdateien, die auf dem Computer des Nutzers gespeichert werden und als temporärer Schlüssel für den jeweiligen Online-Dienst funktionieren. Das Problem bei LinkedIn: Die Token werden nicht nur unverschlüsselt übertragen, sie sind auch ein ganzes Jahr gültig. Damit hat ein Angreifer sehr viel Zeit, um auf fremde Profile zuzugreifen.

Verschlüsselung folgt

Gegenüber 20 Minuten Online hat LinkedIn das gravierende Problem bestätigt, aber die Lösung lässt noch einige Zeit auf sich warten. Laut offizieller Stellungnahme sollen LinkedIn-Nutzer künftig einstellen können, dass sämtliche Daten verschlüsselt übertragen werden. Die neue optionale Funktion werde «in den nächsten Monaten» eingeführt. Den Nutzern wird generell empfohlen, unterwegs nur verschlüsselte WLAN-Netzwerke oder andere sichere Verbindungen zu nutzen.

LinkedIn-Verantwortliche wollten gegenüber dem indischen Computerexperten, der den Fall aufdeckte, keine Stellung nehmen. Er folgert, für besorgte LinkedIn-Nutzer käme nur eine Löschung des alten Accounts in Frage - gefolgt von einer Neuregistrierung.

SSL kann auch Probleme bringen

Computer-Sicherheitsexperte Marc Ruef sagt, das bei LinkedIn identifizierte Problem werde von Fachleuten seit Jahren bemängelt. LinkedIn sei ein gutes Beispiel dafür, wie ein grundlegendes Problem durch die Kombination verschiedener Faktoren noch verschlimmert werden könne.

Ruef weist aber auch darauf hin, dass die stetige Verschlüsselung der Daten mittels SSL auch technische Nachteile bringe. Dies mache sich etwa bei der Performance bemerkbar, indem die Programme langsamer laufen. Ruef sagt: «Grössere Seitenbetreiber mit vielen dynamischen Inhalten werden auch in Zukunft nur sehr ungern SSL anbieten wollen.»

Update 24. Mai:

Google hat bekanntlich eine ähnliche Sicherheitslücke bei Android-Smartphones innert weniger Tage geschlossen. Nun will auch LinkedIn das Tempo forcieren, wie der Pressesprecher des Karriere-Netzwerks gegenüber 20 Minuten Online sagte. «Wir werden die Lebensdauer der fraglichen Cookies von 12 Monaten auf 90 Tage reduzieren.»

(dsc)