El sitio web LinkedIn tenía una gran falla que fue recientemente descubierta y solventada gracias al aviso de Richard Mitchell, un usuario que se dio cuenta que al ingresar al sitio de ayuda de LinkedIn se realizaba la autentiación de su identificación de usuario sobre el HTTP.
Este fallo permitía extraer el token de protocolo OAuth de usuario autenticado, pero en la última actualización del sitio se ha eliminado este error de seguridad. ¿Y cómo fue descubierto el error?
Mitchell revisó, por curiosidad, como se llevaba a cabo el proceso del sitio a través de las herramientas de desarrollo del navegador Google Chrome. De esta forma encontró el script que solicitaba una petición con la llave API que correspondía al sitio de ayuda de la red social profesional. La respuesta era el token OAuth del usuario.
Finalmente, y tras diferentes pasos para comprobar donde estaba el error, LinkedIn premió a Mitchell con una camiseta. Así vemos que las empresas están dispuestas a reconocer sus errores e incluso a premiar a quiénes los ayudan a encontrarlos, pero lo más importante es que no hay que creer en lo que nos dicen los navegadores, bien pueden estar haciendo mal su tarea de filtración.
LinkedIn es una de las redes sociales profesionales más utilizadas y este fallo hasta ahora no ha generado gran revuelo, además fue descubierto y subsanado pero bien podría haber estado en funcionamiento durante mucho tiempo y nadie sabe las consecuencias de esto.
La seguridad informática se vuelve cada día más compleja ante diferentes errores de programación, pero con un poco de conocimiento y utilizando cuidadosamente el navegador todavía se pueden descubrir las amenazas más importantes y evitar problemas mayores. ¿Utilizas LinkedIn de forma regular? ¿Sabías de esta vulnerabilidad?
