Das Business-Netzwerk LinkedIn wird für Anwender und noch mehr für Marketing-Leute immer relevanter. Entsprechend gross ist das Netzwerk und entsprechend viele persönliche Daten wie Telefonnummern, E-Mail-Adressen und ähnliches von Millionen von Menschen sind in LinkedIn gespeichert.

Diese Daten können gestohlen werden, wie der US-Security-Tester Jack Cable gestern aufgedeckt hat. Cables Business ist es, Firmen sene Dienste als Hacker anzubieten und Lücken aufzudecken.

Die Lücke bei LinkedIn befand sich im PlugIn "AutoFill". Das Web-Zusatzprogramm erlaubt es den LinkedIn-Mitgliedern, sich bei anderen Webseiten mit ihren LinkedIn-Login-Daten anzumelden. LinkedIn stellt diese Funktion nur ausgewählten allerdings sehr wichtigen Seiten zur Verfügung. Die Funktion gibt es zum Beispiel für die Besucher des Mobile Word Congress in Barcelona, für Twitter oder Microsoft.com. Wenn nun eine der LinkedIn-Partnerseiten eine Lücke enthielt, die Angriffe mittels Cross-Site-Scripting (hier die Erklärung des Begriffs bei Wikipedia) ermöglichte, konnte sich ein Angreifer über die Partnerseite an LinkedIn-Daten heranmachen.

Die Lücke existierte gemäss Cable auf mindestens einer der LinkedIn-Partnerseiten. Der Berufshacker meldete LinkedIn das Problem am 9. April. Am 10. April grenzte das "Business-Facebook" die Liste der Webseite, die das LinkedIn-Login benützen dürfen, ein, flickte die Lücke aber erst gestern, schreibt Cable. Er informierte daraufhin die Kollegen von 'ZDNet'.

Die Lücke bei LinkedIn war problematisch, weil Angreifer Daten wie E-Mail-Adressen, Telefonnummern und das Wissen über persönliche Netzwerk wiederum für neue und sehr gezielte Angriffe ausnützen können. Gemäss LinkedIn gibt es keine Hinweise, dass tatsächlich Daten gestohlen worden sind. (hc)