Door twee grote problemen is het eenvoudig om LinkedIn-cookies te kapen. Hoewel inloggen beveiligd is, gaan de cookies namelijk onversleuteld over internet. Ook verlopen ze nooit.

Dat probleem wordt verergerd door de tweede bug die Narang ontdekte. Cookies voor geauthenticeerde sessies blijven namelijk altijd geldig. Ook als de gebruiker al is uitgelogd of wanneer het cookie is verlopen. Ook het wijzigen van een wachtwoord betekent namelijk niet dat de sessie in een eventueel gekaapt cookie verloopt. Een aanvaller kan zich op die manier dus blijven authenticeren als het slachtoffer.

Lees alles bij de bron; webwereld