StereoTrader bei FXFlat - Helpdesk zur MetaTrader Erweiterung am 17.09.2018
Inhaltsverzeichnis:
Im Laufe der Jahre haben sowohl große als auch kleine Unternehmen begonnen, sich für die interne Kommunikation und Zusammenarbeit auf Kommunikationsinstrumente wie Slack zu verlassen. In den Helpdesk-Diensten von Drittanbietern wurde jedoch gerade eine schwerwiegende Sicherheitslücke entdeckt, durch die jeder mit dem Know-how Zugang zu vertraulicher interner Kommunikation erhalten könnte.
Laut Inti De Ceukelaire, der die Sicherheitsanfälligkeit entdeckt hat, kann jeder Zugriff auf die interne Kommunikation erhalten, auch wenn der Administrator oder der Hausmeister ihnen keine ausdrückliche Erlaubnis erteilt haben.
Locker, leicht zu hacken
Dies gilt umso mehr für Helpdesks und Issue-Tracker, bei denen das Support-System auf ähnliche Domain-IDs angewiesen ist. De Ceukelaire nutzte genau diese Methode, um durchzukommen.
Er hat ein Konto bei GitHub erstellt und ein Ticket per E-Mail angehoben. Anschließend erhielt er Zugriff auf die E-Mail-Adresse. Dies wurde später verwendet, um sich bei Slack zu registrieren, das von der Firma für die interne Kommunikation verwendet wurde.
Sind automatisierte Helpdesks schuld?
Mithilfe von Helpdesk-Software oder -Anwendungen können Benutzer ihre Probleme schnell beheben, indem sie einfach Tickets ausstellen oder Probleme melden.
Das eigentliche Problem liegt im Überprüfungssystem, was praktisch bedeutet, dass jeder Benutzer eine beliebige E-Mail-Adresse verwenden kann, um Zugriff auf die mit diesem Konto verknüpften Informationen zu erhalten.
De Ceukelaire schrieb in seinem Blog: „Diese Sicherheitsanfälligkeit liegt vor, wenn Support-Tickets per E-Mail erstellt werden können und Benutzer mit einer nicht bestätigten E-Mail-Adresse auf Support-Tickets zugreifen können. Es gibt es auch in öffentlichen Problemverfolgern oder Antwortsendern, die eine eindeutige @ company.com-E-Mail-Adresse bereitstellen, um Informationen direkt an ein Ticket, einen Forumsbeitrag, eine private Nachricht oder ein Benutzerkonto zu senden. “
: 10 Websites, die am häufigsten von Hackern ausgenutzt werdenSicherheitsmaßnahmen
Es ist wirklich eine einfache Lösung. Unternehmen können einfach ihre Support-E-Mail-Adressen ändern, sodass niemand auf E-Mail-Adressen zugreifen kann, mit denen sie sich für Dienste wie Slack oder Yammer anmelden können.
Wenn Sie immer noch eine Support-E-Mail-Adresse verwenden, sollten Sie diese ändern.
Das Chipsatz-Geschäft von Drittanbietern Zurück im Rampenlicht
Der langjährige Abschied von Via aus dem Chipsatz-Geschäft rückt wieder in die Schlagzeilen Am Montag.
App-Maintenance-Provider von Drittanbietern beansprucht enormes Wachstum
Rimini Street behauptet anhaltendes Wachstum für seinen Wartungsdienst für Drittanbieteranwendungen.
Neues Flash-Update von Adobe, um automatische Updates und Software von Drittanbietern zu pushen!
Adobe hat ein Sicherheitsupdate veröffentlicht Adobe Flash. Dieses neue Update führt einen neuen Flash Flash Updater ein. Das ist nicht mehr nötig, wenn Sie Ihr Flash manuell aktualisieren müssen.