W wywiadzie dla Agencji Reutera, Narang powiedział, że problem dotyczy przechowywania plików cookie przez system operacyjny. Według niego, ciastko „LEO_AUTH_TOKEN” jest używane jako klucz dostępu do konta za pośrednictwem systemu. Taki plik jest powszechnym zjawiskiem na stronach internetowych. Nienormalne jest to, że w przypadku opisywanego serwisu, plik ten pozostaje w systemie przez cały rok. Zwykle cookies ważność cookie upływa po 24 godzinach.
Niezwykle długi czas ważności tego pliku oznacza, że „każdy hacker lub osoba o złych zamiarach może uzyskać dostęp do konta”. Portal LinkedIn poleca swoim użytkownikom korzystanie z szyfrowanych połączeń Wi-Fi lub sieci VPN, a nawet zapewnia bezpieczne logowanie po SSL. Okazuje się jednak, że ten plik nie jest chroniony przez SSL. Jak twierdzi Narang, można wykraść te ciasteczka przy użyciu dostępnych narzędzi służących do łamania personalnych zabezpieczeń.
Narang sam wykorzystał tę lukę i włamał się na cztery konta LinkedIn ściągając cookies z forum dla developerów i zostawiając użytkownikom wiadomości na profilach. Wobec ostrzeżeń Naranga, LinkedIn póki co nabiera wody w usta.
Źródło: Neowin