Jejaring sosial Linkedin memiliki celah keamanan, yang dapat dimanfaatkan oleh penyerang. Hal ini diungkapkan oleh perusahaan mobile security Zimperium melalui CEO-nya Zuk Avraham yang dirilis melalui blog resmi perusahaan tersebut pada Rabu, (18/06). Dalam blog tersebut juga didemonstrasikan bagaimana metode yang dapat digunakan oleh penyerang untuk menyerang Linkedin.
Metode serangan yang memungkinkan terhadap Linkedin adalah serangan Man-in-the-Middle yang mengambil kesempatan dari teknik SSL stripping. SSL stripping adalah penyerangan antara pengguna dan layanan yang coba diakses oleh penyerang dan mengganti permintaan HTTPS yang aman dengan yang tidak aman, yang memungkinkan penyerang dapat mengakses informasi dalam bentuk plain text.
Dalam demonstrasi tersebut menggunakan komponen mobile pentesting yang dikembangkan oleh perusahaan tersebut. Pada demonstrasi penyerangan Linkedin tersebut menampilkan bahwa penyerang dapat mencuri akun kredensial Linkedin pengguna dan membajaknya.
Hasil dari serangan itu, Avraham mengatakan bahwa informasi yang dapat bocor adalah alamat email, password, pesan yang telah ditulis maupun yang terkirim, dan daftar connection pada akun Linkedin pengguna. Jika penyerang mendapatkan kontrol yang penuh terhadap akun Linkedin seseorang, mereka dapat mengambil tindakan seperti mengirim undangan, merubah profil pengguna dan memposting atau mengatur halaman perusahaan jika yang menjadi korban adalah akun perusahaan.
Pada demonstrasi penyerang tersebut, Avraham menemukan fakta bahwa setiap pengguna yang akunnya digunakan dalam tes tersebut memiliki vulnerability, jika digunakan dalam perangkat yang telah diserang.
Pada Linkedin, halaman login default menggunakan SSL sehingga akun kredensial pengguna (seperti: username dan password) akan dikirim dengan aman ke server. Setelah otentifikasi pengguna berhasil mana akan dilanjutkan kembali ke http:// untuk sisa waktu pengguna yang mengakses Linkedin. Ini berarti bahwa Linkedin, sebagai salah satu jejaring sosial terbesar, masih memiliki sebagian besar traffic situs yang tidak menggunakan https://, ungkap Avraham pada blog tersebut.
Menurut pengumuman yang dibuat oleh Linkedin mengatakan bahwa transisi kepada HTTPS secara default untuk semua halaman, hal ini sudah dilakukan sejak Desember 2013 tapi ini belum lengkap, untuk sementara hanya traffic untuk pengguna di Amerika Serikat dan Eropa yang dilayani melalui koneksi yang terenkripsi.
Akun pengguna hanya mendapatkan proteksi HTTPS pada halaman login dan setelah prosedur otentifikasi selesai, koneksi akan berubah pada HTTP. Mereka memiliki kemungkinan untuk menghidupkan sistem ntraffic yang sudah dienkripsi dari menu pengaturan keamanan pada akun Linkedin, tampilan yang tersedia untuk pengguna sejak 2012.
Sebenarnya Avraham telah menghubungi Linkedin dan memberi tahu hasil temuannya pada Mei 2013. Jejaring sosial yang dipergunakan untuk professional ini telah mengkonfirmasi masalah celah keamanan ini namun mengklaim bahwa hal ini tidak berefek terhadap pengguna yang menghidupkan mode koneksi aman.
Metode serangan yang memungkinkan terhadap Linkedin adalah serangan Man-in-the-Middle yang mengambil kesempatan dari teknik SSL stripping. SSL stripping adalah penyerangan antara pengguna dan layanan yang coba diakses oleh penyerang dan mengganti permintaan HTTPS yang aman dengan yang tidak aman, yang memungkinkan penyerang dapat mengakses informasi dalam bentuk plain text.
Dalam demonstrasi tersebut menggunakan komponen mobile pentesting yang dikembangkan oleh perusahaan tersebut. Pada demonstrasi penyerangan Linkedin tersebut menampilkan bahwa penyerang dapat mencuri akun kredensial Linkedin pengguna dan membajaknya.
Hasil dari serangan itu, Avraham mengatakan bahwa informasi yang dapat bocor adalah alamat email, password, pesan yang telah ditulis maupun yang terkirim, dan daftar connection pada akun Linkedin pengguna. Jika penyerang mendapatkan kontrol yang penuh terhadap akun Linkedin seseorang, mereka dapat mengambil tindakan seperti mengirim undangan, merubah profil pengguna dan memposting atau mengatur halaman perusahaan jika yang menjadi korban adalah akun perusahaan.
Pada demonstrasi penyerang tersebut, Avraham menemukan fakta bahwa setiap pengguna yang akunnya digunakan dalam tes tersebut memiliki vulnerability, jika digunakan dalam perangkat yang telah diserang.
Pada Linkedin, halaman login default menggunakan SSL sehingga akun kredensial pengguna (seperti: username dan password) akan dikirim dengan aman ke server. Setelah otentifikasi pengguna berhasil mana akan dilanjutkan kembali ke http:// untuk sisa waktu pengguna yang mengakses Linkedin. Ini berarti bahwa Linkedin, sebagai salah satu jejaring sosial terbesar, masih memiliki sebagian besar traffic situs yang tidak menggunakan https://, ungkap Avraham pada blog tersebut.
Menurut pengumuman yang dibuat oleh Linkedin mengatakan bahwa transisi kepada HTTPS secara default untuk semua halaman, hal ini sudah dilakukan sejak Desember 2013 tapi ini belum lengkap, untuk sementara hanya traffic untuk pengguna di Amerika Serikat dan Eropa yang dilayani melalui koneksi yang terenkripsi.
Akun pengguna hanya mendapatkan proteksi HTTPS pada halaman login dan setelah prosedur otentifikasi selesai, koneksi akan berubah pada HTTP. Mereka memiliki kemungkinan untuk menghidupkan sistem ntraffic yang sudah dienkripsi dari menu pengaturan keamanan pada akun Linkedin, tampilan yang tersedia untuk pengguna sejak 2012.
Sebenarnya Avraham telah menghubungi Linkedin dan memberi tahu hasil temuannya pada Mei 2013. Jejaring sosial yang dipergunakan untuk professional ini telah mengkonfirmasi masalah celah keamanan ini namun mengklaim bahwa hal ini tidak berefek terhadap pengguna yang menghidupkan mode koneksi aman.