“Nieuwe app LinkedIn natte droom voor e-krakers”

Webbeveiligers zeggen dat de nieuwe toepassing van LinkedIn Intro de natte droom is voor e-krakers en veiligheidsdiensten. “Ik ben verbijsterd. Ik kan niet geloven dat iemand ooit heeft gedacht dat dit een goed idee is”, zegt Richard Bejtlich van webbeveiligingsbedrijf Mandiant in de New York Times.

Intro is een e-mail-extra voor iOS-gebruikers (het besturingssysteem van de iPhone en iPad van Apple). De toepassing plakt informatie van het LinkedIn-profiel in het e-bericht die de ontvangers krijgen te zien op hun schermen. Er zijn er die dat mooi vinden omdat ze LinkedIn, de zakelijke tegenhanger van Facebook, wel wat erg saai en statisch is.

Webbeveiligers vinden het echter een kwalijk product, omdat het e-mails omleidt via de servers van LinkedIn, die daar ze analyseren op bepaalde gegevens en er vervolgens LinkedIn-informatie aan toevoegen. Dat lijkt op de zogeheten ‘man-in-het-midden-aanval’, waarij krakers of veiligheidsdiensten de berichtenstroom omleggen en er mee kunnen doen wat ze willen. Itraanse krakers onderschepten op die manier in 2011  Gmail-post van dissidenten, door de webstek van de Nederlandse certificaatuitgever DigiNotar te kraken. De veiligheidsdienst NSA zou op die manier het berichtenverkeer van Google hebben onderschept. Volgens de webbeveiligers doet LinkedIn hetzelfde.

LinkedIn zegt als reactie in een blog,  dat klanten de mogelijkheid hebben om die app te gebruiken en als ze dat doen dat de berichten van en naar de LinkedIn-servers zijn versleuteld. Ook slaat het bedrijf geen berichten op. Deskundigen zeggen dat om de veranderingen in de berichten aan te kunnen brengen die eerst gedecodeerd moeten worden om er extra informatie aan toe te kunnen voegen. “Dat is een doelwit voor iemand die je berichten wil zien. Alle angsten van mensen dat anderen je meel kunnen onderscheppen zijn hier aanwezig”, zegt Bejtlich. LinkedIn staat volgens The New York Times niet bekend als erg veilig. Het vorig jaar werden 6 miljoen wachtwoorden gestolen, die opdoken op een Russische stek. Het bleek dat het bedrijf weinig veiligheidsvoorzorgsmaatregelen had genomen. Vorige maand werd LinkedIn er door gebruikers van beschuldigd dat het bedrijf zich onrechtmatig toegang had verschaft tot hun gegevens. “Deze veranderingen worden doorgevoerd onder het mom van mogelijkheden en snelheid, maar het treedt de regel met voeten dat meelverkeer daarheen moet gaan waar het heen hoort te gaan en nergens anders.”, zegt Bejtlich.

Bron: New York Times

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.