Een beveiligingsexpert heeft een nieuw lek in de nog altijd veel gebruikte Internet Explorer browser gevonden. Het stelt hackers in staat de gegevens te stelen die nodig zijn om toegang te krijgen tot Facebook, Twitter en andere websites, “cookiejacking.”
“Any website. Any cookie. Limit is just your imagination,” aldus Rosario Valotta, een onafhankelijke Internet security researcher. Hackers kunnen misbruik maken van het lek om zo toegang te krijgen tot het databestand opgeslagen in de browser beter bekend als ‘cookie’, daarin staan gebruikersnamen en wachtwoorden van een webaccount.
Zodra een hacker in bezit is van jouw ‘cookie’ kan hij of zij met jouw gegevens toegang krijgen tot dezelfde sites. De kwetsbaarheid is volgens Valotta aanwezig in iedere versie van Internet Explorer, ook IE9 dus, op iedere versie van het Windows OS.
Om het lek uit te kunnen buiten moet de hacker de gebruiker overhalen een object te verslepen over het scherm van zijn PC voordat hij toegang krijgt tot het ‘cookie’. Dat klinkt als een moeilijk iets maar Valotta kreeg het toch vrij gemakkelijk voor elkaar. Hij bouwde een puzzel die hij vervolgens op Facebook plaatste waarin gebruikers uitgedaagd werden een foto van een aantrekkelijke vrouw “uit te kleden.”
“Na 3 dagen op Facebook gestaan te hebben had ik al meer dan 80 cookies die naar mijn server verzonden waren, en ik heb maar 150 vrienden.“
Volgens Microsoft is er maar een kleine kans dat een hacker slaagt in een “real-world cookiejacking scam“. “Gezien de vereiste interactie van de gebruiker is dit niet iets met een hoog risico,” aldus Jerry Bryant, woordvoerder van Microsoft.
