Ο ερευνητής ασφαλείας Narang Rishi εντόπισε μια ευπάθεια που θα μπορούσε να αξιοποιηθεί από εγκληματίες του κυβερνοχώρου για την παραβίαση λογαριασμών της Microsoft, του Twitter, του LinkedIn και της Yahoo. Η Google και το Facebook δεν επηρεάζονται από αυτή την ευπάθεια.
Σύμφωνα με τον εμπειρογνώμονα, η ευπάθεια, η οποία μπορεί να λειτουργήσει ως μοχλός για επιθέσεις session fixation, προκαλείται από τη διαχείριση των cookies.
Εάν ένας επιτιθέμενος μπορέσει να υποκλέψει τα ID cookies, μπορεί να τα χρησιμοποιήσει για την παραβίαση του λογαριασμού, δεδομένου ότι δεν υπάρχει μια ημερομηνία λήξης τα cookies εξακολουθούν να ισχύουν ακόμη και μετά την αποσύνδεση ενός χρήστη των παραπάνω υπηρεσιών.
“Τα cookies για τον έλεγχο ταυτότητας της συνεδρίας είναι διαθέσιμα, ακόμη και όταν η συνεδρία έχει τερματιστεί.” αναφέρει ο Narang.
Πρόσθετες τεχνικές λεπτομέρειες για την ευπάθεια είναι διαθέσιμες στο blog του ερευνητή.
