Linkedin’in 2012 yılında yaşadığı güvenlik sorunu nedeniyle kullanıcı bilgilerinin tamamı çalındı. $500.000 – $1.000.000 arasında mali zarara neden olan olay sonrası Linkedin yeni güvenlik önlemlerini devreye aldı (İki adımlı doğrulama,vb.). Ancak güvenlik kontrollerine yenilerinin eklenmesi gerekiyor gibi…
İsrail tabanlı Zimperium Mobile Threat Defence firması HTTPS/SSL trafiği arasına girerek şifreli olamayan trafik ile (HTTP) üzerinden veri değiştirme vektörü ile linkedin hesabına erişim yapılabileceğini raporladı…
Aslında problem linkedin’in HTTPS üzerinden trafiği zorlayıp kontrol edeceği full HTTPS modunda çalışmaması.
Bu vektör SSL Strip attack olarak bilinmekte.
Bu açıklığın kullanılabilmesi için saldırganın aynı ağ üzerinde olması yeterli. MitM (Ortadaki adam Saldırısı – Man-in-the-Middle attack) ile birleştirerek hesaba erişen saldırgan;
E-Posta adreslerine
Parolaya
Okunan ve gönerilen mesajlarar
Bağlantılar
Profilimi kim görüntüledi
…
bilgilerine erişebilir.
Linkedin Hesap ayarlarınızda;
Güvenlik Ayarları > “LinkedIn’de gezinirken güvenli bağlantı kullanılır.” seçeneğinin devrede olup olmadığını kontrol edin…
Kaynak:
http://blog.zimperium.com/linkedin-0day-vulnerability-puts-your-data-at-risk/
http://thehackernews.com/2014/06/millions-of-linkedin-users-at-risk-of.html