Belgische hacker ontdekt beveiligingslek in helpdesks
De Belgische ethische hacker Inti De Ceukelaire heeft een foutje ontdekt in het helpdeskmechanisme van organisaties, zo schrijft hij in een blogpost. Via het beveilgingslek kon hij binnendringen in interne communicatiekanalen van een bedrijf, zoals via Slack. Daarnaast kon hij zich ook toegang verschaffen tot intranets en accounts van sociale media zoals Twitter.
Ticket Trick
Hij noemt het foutje zelf de ‘Ticket Trick’. Als je een ticket aanmaakt bij een helpdesk, krijg je vaak een uniek virtueel emailadres toegeschreven met een @bedrijf.com-extensie. Met dit e-mailadres kan je je registreren op een Slack-kanaal en de interne communicatie volgen. Om binnen te dringen in zo’n kanaal, hoef je immers enkel een emailadres te hebben van het desbetreffende bedrijf. Een uitnodiging is niet noodzakelijk. Vanaf dan kan je alle berichten lezen die in de publieke kanalen worden geplaatst.
Vele bedrijven hebben ondertussen hun procedure bijgewerkt, maar nog steeds zijn vele systemen onbeschermd. Daarom besloot de ethische hacker om het beveiligingslek publiek te maken. Slack heeft ondertussen zijn verificatieprocedure aangepast, maar tools zoals Yammer hebben nog geen actie ondernomen.