ä¸è¦å²ç¬æåçæ§
目次:
何年にもわたって、大小両方の組織が内部コミュニケーションとコラボレーションのためにSlackのようなコミュニケーションツールに頼り始めました。 しかし、ノウハウを持つ人なら誰でも機密の内部通信にアクセスできるようにするサードパーティのヘルプデスクサービスに深刻な脆弱性が発見されたばかりです。
この脆弱性を発見したInti De Ceukelaireによれば、管理者や世話人が明示的に許可を与えていなくても、だれでも内部通信にアクセスすることができます。
スラック、ハックしやすい
これは、サポートシステムが同様のドメインIDに依存しているヘルプデスクや課題追跡システムの場合には、いっそう重要になります。 De Ceukelaireはこの方法を利用して解決しました。
彼はGitHubにアカウントを作成し、電子メールでチケットを発行しました。 その後、彼はそのメールアドレスにアクセスしました。 これは後で社内で社内コミュニケーションに使用されていたSlackへの登録に使用されました。
自動ヘルプデスクは非難されるべきですか?
ヘルプデスクのソフトウェアやアプリケーションを使用すると、ユーザーは単にチケットを発行するか、問題を報告することで、問題をすぐに解決することができます。
本当の問題は検証システムにあります、それは事実上だれでもそのアカウントにリンクされた情報へのアクセスを得るためにどんな電子メールアドレスでも使うことができることを意味します。
De Ceukelaire氏は、ブログで次のように述べています。「サポートチケットを電子メールで作成でき、サポートチケットに未確認の電子メールアドレスを持つユーザーがアクセスできる場合、この脆弱性が存在します。 また、チケット、フォーラム投稿、プライベートメッセージ、またはユーザーアカウントに直接情報を送信するための、固有の@ company.com電子メールアドレスを提供する公共の課題追跡システムまたはレスポンダにも存在します。」
:10のWebサイトがハッカーによって最も頻繁に利用されている安全対策
それは本当に簡単な修正です。 SlackやYammerなどのサービスにサインアップするために使用される可能性のある電子メールアドレスにだれもアクセスできないように、企業は単にサポート電子メールアドレスを変更することができます。
サポートEメールアドレスをまだ使用している場合は、それを変更することを検討してください。