Después de todos los problemas de seguridad que la red social ha sufrido, sus responsables invirtieron una gran cantidad de dinero en contratar expertos que solucionasen los problemas de seguridad. Sin embargo, parece que no ha valido de mucho ya que millones de cuentas de la red social LinkedIn podrían sufrir un ataque Man-in-the-middle.
Después de invertir más de un millón de dólares en analizar los problemas de la red social, los responsables se encuentran con un problema que afecta a una gran cantidad de cuentas. Este problema afecta a todos los usuarios que no utilizan HTTPS para iniciar sesión en la red social.
Expertos en seguridad han detectado que no se trata de una funcionalidad que esté activada por defecto en las cuentas, provocando que haya usuarios que sí la han activado y otros muchos que no lo han hecho, y que por lo tanto, poseen cuentas que están expuestas a este tipo de ataques.
La compañía se encuentra trabajando en implementar HTTPS por defecto en todas las cuentas, pero el proceso es muy lento ya que ha pasado más de un año y todavía hay muchos usuarios que no lo tienen.
HSTS no está implementado en LinkedIn
En otros servicios similares, aunque el usuario no haga uso de HTTPS, todo el tráfico es forzado a utilizar HTTPS proporcionando mucha más seguridad en las comunicaciones de los usuarios. Sin embargo, en LinkedIn no está implementado y no parece que vaya a hacerse a corto plazo.
Demostración y datos que se podrían ver afectados
Hay que saber que este tipo de ataques generalmente son realizados por terceras personas que se encuentran en la misma red local que la víctima. Pero en este caso también es posible realizarlo aunque el atacante no se encuentre en la misma red local, procediendo al hackeo de equipos intermedios, e incluso los routers y servidores que posee la red social.
El que realice este ataque no solo tendrá acceso a las credenciales de acceso a la cuenta de LinkedIn, sino que podrá escribir y ver los mensajes que han sido enviados desde la cuenta, ver las personas que han accedido a tu perfil y modificar la información que es enviada. De esta forma, si el usuario envía cierta información y es interceptada, se puede modificar y alterar el contenido.
[vimeo]http://vimeo.com/98533216[/vimeo]
Para todo aquel que esté interesado en activar HTTPS en su cuenta, se puede realizar acudiendo al menú «Administrar configuración de seguridad«.
Fuente | The Hacker News