Bei dem Karriere-Netzwerk LinkedIn gibt es offensichtlich eine Sicherheitslücke. Der indische Analyst für Netzwerksicherheit Rishi Narang hat gebloggt, dass sich Profile bei LinkedIn auf ähnliche Weise kapern lassen wie vor einiger Zeit Facebook-Accounts und bis eben noch Android-Geräte.

In all diesen Fällen geht es um sogenannte Authentifizierungs-Token. Das sind kurze Textdateien, die wie ein Cookie auf dem Rechner eines Nutzers abgelegt werden, wenn er sich bei einem Dienst angemeldet hat. Diese Token arbeiten wie ein Schlüssel und werden von vielen Seiten und Diensten verwendet.

Das Problem bei LinkedIn: Einerseits werden die Token unverschlüsselt übertragen, können also abgefangen und von anderen missbraucht werden. So war es auch bei Facebook und bei Android. Beide Seiten haben inzwischen reagiert und übertragen die Token nun zwingend über das gesicherte Internetprotokoll https. Anderereits sind die LinkedIn-Token ein Jahr lang gültig, wie Narang schreibt. Womit ein potenzieller Einbrecher viel Zeit hat, auf das Profil zuzugreifen.

Um diese Lücke überhaupt ausnutzen zu können, muss der Angreifer die Kommunikation zwischen einem Nutzer und LinkedIn belauschen. Normalerweise ist das nicht so leicht möglich, doch gibt es einen Fall, in dem es kein Problem ist. Surft der Betreffende über ein offenes WLAN, beispielsweise in einem Café, kann jeder, der sich ebenfalls in diesem WLAN bewegt und entsprechende Software einsetzt, die Daten mitschneiden.

Änderungen in den kommenden Monaten

In einer Erklärung wies LinkedIn daher darauf hin, es sei eine gute Idee, nur über gesicherte Verbindungen zu surfen. Auf den konkreten Vorwurf Narangs wollte das Unternehmen offensichtlich nicht eingehen. Es hieß lediglich, man arbeite daran, demnächst den Zugang via https als Option anzubieten, dabei würden dann auch die Token gesichert übertragen. Mit der Änderung sei in den kommenden Monaten zu rechnen.

Narang hält aber vor allem die lange Laufzeit der Cookies für fahrlässig. Schließlich genüge es ja nicht, sein Passwort und andere Einstellungen an seinem Account zu ändern, schreibt er. Denn ein solcher Token, sei er einmal abhanden gekommen, bleibe aktiv – und das ein ganzes Jahr lang. Auch bei geändertem Passwort akzeptiere das Netzwerk den alten Identifizierungstoken und lasse so die Übernahme des Accounts weiter zu.

Er beschreibt, er habe sogar in offen zugänglichen LinkedIn-Entwicklerforen vier solcher Token gefunden. Nutzer hätten dort um Rat gefragt und dazu auch die Token gepostet. Narang lässt offen, ob sie dies wissentlich oder unwissentlich taten. Doch er schreibt, das zeige, dass sich die Nutzer dieses Problems nicht bewusst seien.

LinkedIn ist eine Webseite, auf der – ähnlich dem Karrierenetz Xing– berufliche Kontakte geknüpft werden können. Die Seite hat nach eigenen Angaben mehr als 100 Millionen Nutzer weltweit. Die Aktien des Netzwerks wurden am Freitag erstmals an der New Yorker Börse gehandelt. Die Papiere stiegen zeitweise um 171 Prozent über den Ausgabepreis.