Account LinkedIn a rischio, scoperto grave bug nella gestione cookie

Il sito di networking professionale LinkedIn ha delle falle di sicurezza che rende gli account degli utenti vulnerabili agli attacchi di hacker, i quali potrebbero accedervi senza nemmeno aver bisogno di password, secondo un ricercatore di sicurezza che ha identificato il problema. LinkedIn, fondato nel dicembre 2002 e avviato nel maggio 2003, è utilizzato principalmente per networking professionale. A marzo 2011, LinkedIn relaziona più di 100 milioni di utenti registrati, che coprono più di 200 paesi e territori in tutto il mondo. La notizia della vulnerabilità è emersa durante il fine settimana, solo pochi giorni dopo LinkedIn Corp è andato in offerta pubblica la scorsa settimana con il debutto commerciale che ha visto il valore delle sue azioni più del doppio, che evoca i ricordi del boom di investimenti dot.com della fine degli anni 1990. Rishi Narang - un ricercatore indipendente di sicurezza Internet con sede vicino a New Delhi, in India, che ha scoperto la falla di sicurezza - ha detto a Reuters Domenica che il problema è legato al modo in cui LinkedIn gestisce un tipo di file dati comunemente usato e conosciuti come cookie, che includono il JSESSIONID e il LEO_AUTH_TOKEN. Dopo che un utente inserisce il nome utente corretto e la password per accedere a un account, il sistema di LinkedIn crea i cookie sul computer dell'utente che servono come chiave per accedere all'account. Molti siti web utilizzano tale cookie, tra i quali Facebook, ma ciò che rende il cookie LinkedIn insolito è che non scade per un anno intero dalla data della sua creazione, ha detto Narang. Il dettaglio della vulnerabilità è descritto in un post sul suo blog di Sabato. I cookie token di accesso della maggior parte dei siti web commerciali in genere scadono nel giro di 24 ore, o anche prima se un utente effettua il logout dal sito, ha detto Narang. Ci sono alcune eccezioni: i siti bancari spesso disconnettono gli utenti dopo 5 o 10 minuti di inattività. Google offre ai suoi utenti la possibilità di usare i cookies che li tengono connessi per diverse settimane, ma consente all'utente di deciderlo prima. La lunga durata del cookie LinkedIn significa che chiunque si impossessa del file può caricarlo su un PC e accedere facilmente all'account originale dell'utente per almeno un anno. La società ha rilasciato una dichiarazione dicendo che essa sta già effettuando la procedura per garantire gli account dei suoi clienti. "LinkedIn prende la privacy e la sicurezza dei nostri iscritti seriamente", dice la nota. "Sia che siate su LinkedIn o qualsiasi altro sito, è sempre una buona idea scegliere reti WiFi o reti VPN (reti private virtuali) criptate o di fiduicia, quando possibile". La società ha detto che attualmente supporta SSL, o Secure Sockets Layer, tecnologia per la crittografia di alcuni dati "sensibili", tra cui gli accessi agli account. Ma quei token cookie di accesso non sono ancora codificati con SSL. Ciò rende possibile per gli hacker rubare i cookie utilizzando strumenti ampiamente disponibili per sniffare il traffico Internet, ha continuato Narang. Se si è in una rete di casa o aziendale e qualcuno raccoglie i cookie di traffico o usa Firesheep il gico è fatto. E, anche se si cambia la password e tutte le impostazioni, ancora il vecchio cookie è valido e dunque concede all'attaccante un accesso al vostro account. LinkedIn ha detto nella sua dichiarazione che si sta preparando ad offrire opt-in il supporto SSL per le altre parti del sito, una opzione che avrebbe coperto la crittografia dei cookie. L'azienda ha detto che si aspetta sarà disponibile "nei prossimi mesi". Ma i funzionari LinkedIn hanno rifiutato di rispondere alla critica di Narang sull'uso della società di un cookie con scadenza di un anno. Narang ha detto che il problema è particolarmente grave perché gli utenti di LinkedIn gli utenti non sono consapevoli del problema e non hanno idea che essi debbano proteggere tali cookie. Il ricercatore aa affermato, inoltre, di aver trovato quattro cookie con token di accesso LinkedIn validi che erano stati caricato su un forum per gli sviluppatori LinkedIn dagli utenti che avevano postato delle domande circa il loro uso. Narang ha scaricato quei cookie e ha potuto accedere agli account dei quattro abbonati LinkedIn.
Fonte: Protezione Account

Yahoo! allunga di sei volte il periodo di conservazione dei dati di navigazione

Se mai ci fosse stato bisogno di una conferma del fatto che le informazioni fornite dagli internauti sono la vera miniera d’oro per le grandi società che operano nel Web, una recente decisione di Yahoo! mette le cose ben in chiaro. Con un post sul blog aziendale firmato dalla «Chief trust officer» Anne Toth, il colosso di Sunnyvale ha annunciato che conserverà i dati degli utenti per un periodo sei volte superiore a quanto previsto finora, passando da tre mesi di data retention a un anno e mezzo.La mossa può apparire in controtendenza con l’attenzione alla privacy manifestata dalla stessa Yahoo! quasi tre anni or sono quando, con una decisione unilaterale, decise di ridurre da tredici mesi a novanta giorni il periodo di archiviazione di alcuni dati, proprio per tutelare gli utenti, ma l’allungamento, che diventerà effettivo da luglio, «è stato deciso - spiega Toth – per allineare la nostra politica di conservazione dei log a quello che è lo standard della concorrenza nel settore». Insomma, se Google e Microsoft fanno miliardi grazie alla pubblicità ritagliata sui gusti degli inserzionisti, dedotti dalle loro ricerche e dalle altre attività che svolgono online, in casa Yahoo! non vogliono essere da meno; l’azienda viene del resto da un periodo difficile in cui ha chiuso alcuni servizi, licenziato 700 dipendenti a dicembre e messo in agenda altri tagli per il 2011. I dati finanziari del primo quadrimestre dell’anno in corso, presentati ieri, si sono rivelati meno negativi del previsto grazie anche agli introiti garantiti dal circuito di banner e annunci online, cresciuti del 10 per cento ed è probabilmente sulla pubblicità che la presidente Carol Bartz punta per rilanciare la società.Dovrà però vedersela con le normative in materia di data retention e tutela della privacy dei navigatori che l’Unione Europea ha emanato negli ultimi anni; la direttiva sulla Data Protection varata da Bruxelles fissa in sei mesi il periodo massimo per la conservazione dei log delle ricerche online: un periodo di tempo ben inferiore a quanto previsto ora da Yahoo!, che con l’ultima modifica supera anche Mountain View e Redmond quanto a durata di archiviazione dei dati.Google e Microsoft, proprio su pressione dell’Ue, hanno ridotto lo scorso anno rispettivamente a nove e sei mesi il periodo di data retention. Dopo questo periodo, tuttavia, le informazioni non vengono del tutto cancellate: i tecnici della Grande G si limitano a rimuovere l’ultima parte dell’indirizzo Ip dei navigatori e conservano per altri nove mesi altri dati come i cookie, mentre Microsoft cancella del tutto gli Ip, ma mantiene anch’essa i cookie per un anno e mezzo.

Fonte: La Stampa

Dai cookie che resuscitano al monitoraggio in tempo reale

La privacy on line sempre più in pericolo

La signora M. soffre di depressione. Per trovare informazioni utili sulla sua malattia, visita un sito specializzato; mentre osserva un video sull’argomento, non si accorge però che da quel momento ogni suo movimento su Internet verrà monitorato. Un piccolo file, un cookie, ha registrato l’identificativo del suo computer e il nome utente che consentiranno di individuarla nella moltitudine che affolla il Web. La prossima volta che si recherà a un colloquio di lavoro o a stipulare un’assicurazione, la sua “depressione”, vista come la lebbra nella società dell’efficientismo, potrebbe esserle rinfacciata. M. però non è una sprovveduta e, prima di chiudere il browser, cancella i cookie con l’apposita funzione. Tutto a posto, dunque? No, perché a sua insaputa, il cookie viene “resuscitato” dal sito Web. Questo è solo uno dei casi segnalati da un gruppo di famiglie americane, che hanno fatto causa settimana scorsa alla software house Clearspring Technology, specializzata nella fornitura di widget usate dai siti più visitati su Internet: da quello della Disney, ad Aol.com, alla Warner Bros. Secondo l’accusa, Clearspring, come la sua concorrente Quantcast, oggetto lo scorso mese, di un’azione legale simile, userebbe il plugin di Flash (quello che si utilizza per vedere i video online), per immagazzinare informazioni sugli utenti. Questo tipo di cookie non viene automaticamente rimossi dagli strumenti più comuni di pulizia del Pc e, come se non bastasse, può essere agevolmente re-installato, conservando e accumulando informazioni sulla situazione economica, sulle preferenze religiose, personali e sessuali di un utente mentre questi si aggira per il Web.Il business dello “spionaggio” degli utenti è ormai uno dei maggiori di Internet. Una recente inchiesta condotta dal Wall Street Journal ha mostrato come i 50 siti americani più visitati, piazzino nei computer degli internauti in media, 64 strumenti di monitoraggio, spesso senza avvertire i visitatori. Una dozzina di questi siti arriva a utilizzare un centinaio di strumenti di tracciamento e analisi comportamentale. Il celebre sito di Microsoft, Msn.com, per esempio, colloca nel computer client un file contenente una valutazione della possibile età, sesso e codice postale del visitatore e una stima di massima sul suo reddito, stato civile, prole e possesso di un’abitazione. Chi visita le voci relative alla salute dell’Encyclopaedia Britannica, forse non sa di essere sorvegliato, e non comprende come mai si trova poi “inseguito” da annunci di medicinali e cliniche private. E non ci sono solo i cookie, da cui guardarsi; l’ultima tendenza è l’analisi in tempo reale del comportamento del navigatore, tramite i cosiddetti “web bugs” o “beacon”, dei piccoli software che tengono traccia di tutto quello che l’utente fa su una certa pagina: dai caratteri che digita a dove muove il mouse”. In questo modo, per esempio, la recensione che avete appena scritto sul vostro film o disco preferito, può essere aggiunta in tempo reale al vostro profilo. E se nel prossimo sito che visitate, vi apparirà il banner di un Dvd dello stesso regista o dell’ultimo Cd dello stesso gruppo, provate a chiedervi: ma è proprio un caso?

Fonte: La Stampa - Autore: Federico Guerrini