目录:
多年来,大型和小型组织都开始依赖Slack等通信工具进行内部沟通和协作。 但是,第三方服务台服务中刚刚发现了一个严重漏洞,可能让任何拥有专有技术的人都可以访问机密内部通信。
据发现此漏洞的Inti De Ceukelaire称,即使管理员或看护人未明确授予他们许可,任何人都可以访问内部通信。
懒散,易于破解
在支持系统依赖于类似域ID的帮助台和问题跟踪器的情况下,这变得更加重要。 De Ceukelaire利用这种方法来度过难关。
他在GitHub上创建了一个帐户并通过电子邮件提出了一张票。 之后,他可以访问该电子邮件地址。 后来这个用于注册Slack,该公司正在使用它进行内部通信。
自动化服务台是否受到责备?
帮助台软件或应用程序允许用户通过简单地提高票证或报告问题来快速解决问题。
真正的问题在于验证系统,这实际上意味着任何人都可以使用任何电子邮件地址来访问链接到该帐户的信息。
De Ceukelaire在他的博客上写道:“如果支持票证可以通过电子邮件创建,并且支持票证可由具有未经验证的电子邮件地址的用户访问,则此漏洞存在。 它也存在于公共问题跟踪器或响应者中,提供独特的@ company.com电子邮件地址,以直接向票证,论坛帖子,私人消息或用户帐户提交信息。“
:10个网站最常被黑客利用安全措施
真的,这是一个简单的修复。 公司可以简单地更改其支持电子邮件地址,以便任何人都无法访问可用于注册Slack或Yammer等服务的电子邮件地址。
如果您仍在使用支持电子邮件地址,请考虑更改它。