LinkedIn-app onder vuur door onbeveiligde agenda-gegevens

De iPhone-app van LinkedIn is onder vuur vanwege de nieuwe agenda-syncfunctie. Daarbij worden alle details van een vergadering, inclusief wachtwoorden en notities onversleuteld naar LinkedIn gestuurd.

LinkedIn CalendarBeveiligingsonderzoekers hebben ontdekt dat de iPhone-app van LinkedIn gegevens uit de agenda van gebruikers naar de servers van LinkedIn verstuurt, zonder daar expliciet toestemming voor te vragen. Bovendien worden de gegevens onversleuteld verzonden. De afspraakgegevens worden alleen naar de servers van LinkedId als een gebruiker de agendasynchronisatie inschakelt. Dit gebeurt als je vanuit de LinkedIn-app in je agenda wilt kijken. De app verzamelt op dat moment alle afspraken van de komende vijf dagen uit de standaard iOS-agenda en stuurt ze onversleuteld naar LinkedIn. Het gaat om titel, tijden, namen van aanwezigen en eventuele notities. De onderzoekers van Skycure vragen zich nu af of LinkedIn wel voldoet aan Apple’s privacyrichtlijnen.


Daarin staat dat het is verboden om persoonlijke gegevens te versturen zonder toestemming van de gebruiker. In een reactie geeft LinkedIn-woordvoerster Julie Inouye aan dat er sprake is van een opt-in als je de agenda wilt synchroniseren. Ook wijst ze erop dat gebruikers de optie gemakkelijk kunnen uitschakelen via de instellingen. Maar dat lost nog niet het beveiligingsprobleem in de app zelf op.

linkedin code

Volgens onderzoekers Yair Amit and Adi Sharabani heeft LinkedIn helemaal niet zoveel gegevens nodig. Een unieke identificatie zou voldoende zijn, terwijl LinkedIn alle profielinformatie meestuurt, zodat je voorafgaand aan het gesprek iemands loopbaan kunt checken. LinkedIn gebruikt informatie uit de afspraakgegevens om daaraan een LinkedIn-profiel te koppelen. Gegevens van mensen die geen LinkedIn-lid zijn worden ook meegestuurd (maar uiteraard zonder de aanvullende informatie). Ook vinden de onderzoekers het vreemd waarom LinkedIn ook gegevens over inbelnummers en wachtwoorden, meeting notes en tijdstippen wil weten.

De beveiligingsonderzoekers hebben LinkedIn op de hoogte gesteld van de situatie en zijn van plan om het verhaal woensdag op een beveiligingsworkshop in Tel Aviv te presenteren. In een blogposting hebben ze al uitgebreid uitgelegd wat er aan de hand is. LinkedIn is op de hoogte van het probleem, maar heeft de app nog niet aangepast. Afgelopen vrijdag, voordat het lek bekend werd, zei LinkedIn’s legal director voor producten het volgende:

Het verzekeren van meer privacy en controle over je persoonlijke gegevens blijft onze hoogste prioriteit.

Eerder maakte Path een soortgelijke fout, door complete adresboeken naar de servers van Path te sturen. Er bleken toen veel meer apps die zich er schuldig aan maakten. Path paste de app aan en had uiteindelijk weinig last van imagoschade. Integendeel, de app heeft juist een opmerkelijke comeback gemaakt, bijvoorbeeld onder mensen die hun foto’s niet met Facebook willen delen.

Update: Inmiddels blijkt LinkedIn getroffen door nog meer beveiligingsproblemen: op internet is een bestand verschenen met daarin 6,5 miljoen gecodeerde wachtwoorden van LinkedIn-gebruikers.

Reacties: 5 reacties

Reacties zijn gesloten voor dit artikel.