Tredjeparts helpdesk som slakk er i faresonen, og du må lese dette
I løpet av årene har både store og små organisasjoner begynt å stole på kommunikasjonsverktøy som Slack for intern kommunikasjon og samarbeid. Men en alvorlig sårbarhet er nettopp blitt avdekket i tredjeparts helpdesk-tjenester som kan la noen med kunnskapen få tilgang til konfidensiell intern kommunikasjon.
I følge Inti De Ceukelaire, som oppdaget sårbarheten, kan hvem som helst få tilgang til intern kommunikasjon selv når administratoren eller vaktmesteren ikke eksplisitt har gitt tillatelse til dem.
Slakk, lett å hacke
Dette blir desto mer kritisk i tilfelle av helpdesk og utsporingssporere der støttesystemet er avhengig av lignende domener-ID-er. De Ceukelaire utnyttet denne metoden for å komme gjennom.
Han opprettet en konto på GitHub og løftet en billett via e-post. Etter det fikk han tilgang til e-postadressen. Dette ble senere brukt til å registrere på Slack som ble brukt av selskapet til intern kommunikasjon.
Er det automatiske brukerstasjoner som får skylden?
Helpdesk-programvare eller applikasjoner gjør det mulig for brukere å få et raskt middel til problemene sine ved å heve billetter eller ved å rapportere problemer.
Det virkelige problemet ligger i bekreftelsessystemet, som praktisk talt betyr at hvem som helst kan bruke hvilken som helst e-postadresse for å få tilgang til informasjonen knyttet til den kontoen.
De Ceukelaire skrev på bloggen sin, “Denne sårbarheten eksisterer hvis supportbilletter kan opprettes via e-post og hvis supportbilletter er tilgjengelige for brukere med en ubekreftet e-postadresse. Det eksisterer også i trackere eller respondere som gir en unik e-postadresse til @ company.com for å sende inn informasjon direkte til en billett, et forum, en privat melding eller en brukerkonto. '
Les mer:10 nettsteder som ofte blir utnyttet av hackereSikkerhetstiltak
Det er en enkel løsning, egentlig. Bedrifter kan ganske enkelt endre support-e-postadressene slik at noen ikke kan få tilgang til e-postadresser som kan brukes til å registrere seg for tjenester som Slack eller Yammer.
Hvis du fortsatt bruker en e-postadresse for støtte, kan du vurdere å endre den.
