【搜狐IT消息】北京时间5月23日消息,据国外媒体报道,美国白领社交网站Linkedin日前风光上市,然而日前,印度一名安全工程师对媒体曝光了Linkedin的一个重大安全漏洞:由于其cookie文件有效期达到一年,这有可能被黑客轻松盗走从而泄露个人账户。
印度新德里一位网络安全专家李希·纳兰(Rishi Narang)发现了这一问题。并于周日告知媒体。
据悉,如果Linkedin的用户登录成功之后,网站将会在用户电脑上留下一个cookie文件,名叫"LEO_AUTH_TOKEN",通过这个文件,用户再次登陆时,则无需输入帐号密码,即cookie保持了用户的成功登录状态。
许多使用cookie的网站,将cookie的有效期设置为24小时甚至更短,然而Linkedin的文件,有效期却长达一年,这是非常罕见的。这种情况意味着如果黑客获得了这个cookie文件,则可以轻松登录用户帐户,盗取个人信息。
李希表示,在一些Linkedin的开发论坛上,他发现有用户的cookie文件被上传上来,他下载四个这样的文件,可以轻松登录四个Linkedin用户的帐号。
李希表示,问题尤为严重的是,许多Linkedin的用户不知道这个问题存在,也不知道如何保护这些cookie文件不被黑客盗走。
对于李希的批评和曝光,Linkedin官方并未作出回应。Linkedin反倒表态称,一直在保护用户帐户安全,比如目前已经支持了SSL加密技术,防止账号数据被黑客截留。