Theo nghiên cứu, người sử dụng LinkedIn có thể dễ bị tấn công, chiếm đoạt và sử dụng bất hợp pháp thông tin cá nhân. Zimperium, một công ty bảo mật di động tại San Francisco, đã báo cáo các vấn đề với mạng xã hội này hơn một năm trước đây, nhưng vấn đề vẫn còn tồn tại.
LinkedIn đã được thông báo về những rủi ro tiềm năng hơn một năm trước
Zimperium liên lạc với LinkedIn sáu lần trong năm qua, nhưng công ty chỉ chia sẻ thông tin cơ bản chẳng hạn như làm thế nào việc triển khai kế hoạch SSL trên mạng LinkedIn có thể khắc phục vấn đề.
Trong một tuyên bố, Zimperium cho rằng, một cuộc tấn công MITM tương đối đơn giản, sử dụng lỗ hổng trong SSL, có thể trích xuất thông tin của LinkedIn, tấn công phiên làm việc (tiếp cận với thông tin LinkedIn khác trên tài khoản) và mạo danh người dùng. Các vấn đề mạo danh trong tình huống này có thể dẫn đến các vấn đề khác, bao gồm các cuộc tấn công lừa đảo trực tuyến hoặc tấn công xã hội thụ động. Kẻ tấn công trong trường hợp này sẽ có quyền truy cập đầy đủ để xâm nhập hồ sơ cá nhân - trong đó có quyền quản trị trên các nhóm và các trang của công ty.
"Chúng tôi đã thử nghiệm mỗi người dùng đều dễ bị tấn công theo cách này. Ngoài ra, lỗ hổng này không chỉ tồn tại khi một kẻ tấn công trên cùng một mạng với mục tiêu - nếu một kẻ tấn công đã bị xâm nhập một thiết bị, một khi thiết bị đó nhập vào một mạng khác, kẻ tấn công có thể sử dụng thiết bị của nạn nhân để tấn công người dùng khác trên cùng một mạng". Zimperium giải thích.
Để chứng minh tuyên bố mình, Zimperium sử dụng công cụ và tài khoản riêng, quá trình này không phải là quá phức tạp khi kẻ tấn công có kiến thức và được trang bị các phần mềm thích hợp. Người dùng LinkedIn truy cập hồ sơ của họ trong một môi trường công cộng, như một quán cà phê, phòng chờ sân bay hoặc hội nghị, dễ có nguy cơ bị tấn công.
Trong một tuyên bố, LinkedIn nói rằng vấn đề này không ảnh hưởng đến tất cả người dùng của họ mà chỉ có một số ít. "LinkedIn cam kết bảo vệ sự an toàn của các thành viên của chúng tôi. Trong tháng 12 năm 2013 chúng tôi bắt đầu chuyển các trang web LinkedIn sang để mặc định HTTPS và trong thông báo tuần trước chúng tôi đang phục vụ tất cả các lưu lượng truy cập đến tất cả người dùng tại Mỹ và châu Âu đã mặc định sử dụng giao thức HTTPS. Vấn đề này không không ảnh hưởng đến phần lớn các thành viên LinkedIn đối với việc sử dụng mặc định HTTPS của chúng tôi đang diễn ra trên toàn cầu."
Trả lời tuyên bố, Zimperium cho biết mặc dù họ hài lòng LinkedIn đang triển khai SSL theo mặc định, nhưng "vẫn thấy nhiều trường hợp cài đặt SSL không được kích hoạt trên tài khoản LinkedIn hiện tại hoặc tài khoản mới ở Mỹ và châu Âu."
"Thử nghiệm ban đầu của chúng tôi cho thấy cho các tài khoản hiện có, xóa cookie xác thực vẫn còn lưu trữ trong trình duyệt của người dùng có thể khắc phục vấn đề này, tuy nhiên điều này đã không được thống nhất như vậy."
Một điều giảm thiểu có thể cho phép kết nối an toàn.
Trong Account & Settings, bấm vào đánh giá cạnh Privacy & Settings và đến Account. Từ đó, chọn Manage Security Settings và kích hoạt Secure Connection.
Theo CSOONLINE
Thêm bình luận