Det ligger i de sociale mediers dna: At man på så mange måder som muligt kan forbinde med ens kontakter og udvide netværket.
Dette har dog også en sikkerhedsmæssig konsekvens: Sociale medier som LinkedIn og Facebook benytter sig af en feature til at forbinde med kontakter fra ens email, som kan misbruges til at finde frem til email-adresserne hos folk, der ellers gerne ville holde den skjult.
Det skriver den amerikanske sikkerhedsblogger Brian Krebs, der er blevet gjort opmærksom på problemet af sikkerhedsfirmaet Rhino Security Labs.
Kort sagt, så bestå sikkerhedshullet i, at man ved hjælp af brute force-lignende metoder, kan gætte sig frem til eksempelvis kendte personer rigtige email.
Når LinkedIn foreslår at forbinde med kontakter fra eksempelvis Gmail og Hotmail, så åbner servicen også op for et potentielt misbrug ifølge Brian Krebs.
Fordi der ikke er nogen begrænsning på antallet af emails, den undersøger, så kan man hurtigt generere en lang liste af emails med forskellige kombinationer af for- og efternavne efterfulgt af de mest brugte mailudbydere og lade LinkedIn scanne dem. LinkedIn vil således identificere de rigtige email-adresser og gå ud fra, at man kender vedkommende.
LinkedIn afslører ganske vist ikke, hvad der er den rigtige email-adresse, men man kan hurtigt identificere den ved at sammenligne en oprindelige liste med de email-adresser, som LinkedIn ikke kunne finde nogen match på ifølge Brian Krebs.
Ved at benytte sig af denne metode og en Microsoft Excel macro til at generere listen af emails, lykkedes for Bryan Seely fra Rhino Security Labs at gætte adresserne på flere kendte personers.
»Det er bare et gættespil, men 90 pct. af folk bruger email-adresser der indeholder dele af deres rigtige navn,« siger Bryan Seely til Brian Krebs.
LinkedIn har oplyst til Brian Krebs, at sikkerhedshullet gælder de fleste sociale netværk, der tilbyder brugerne lignende funktioner til at forbinde med email-kontakter.
Det sociale netværk arbejder nu på en rettelse, der blandt andet skal gøre det muligt for medlemmer at framelde sig funktionen, så andre personer ikke kan finde dem ved at scanne adressekartoteket i deres email.
Leave a Reply