Via het lek kunnen hackers inbreken in honderden bedrijven. Een ongewenste bezoeker kan zo een kijkje nemen in de interne communicatiekanalen, zoals Slack.

De Belgische ethische hacker Inti De Ceukelaire heeft een foutje ontdekt in het helpdeskmechanisme van organisaties, zo schrijft hij in een blogpost. Via het beveilgingslek kon hij binnendringen in interne communicatiekanalen van een bedrijf, zoals via Slack. Daarnaast kon hij zich ook toegang verschaffen tot intranets en accounts van sociale media zoals Twitter.

Ticket Trick

Hij noemt het foutje zelf de ‘Ticket Trick’. Als je een ticket aanmaakt bij een helpdesk, krijg je vaak een uniek virtueel emailadres toegeschreven met een @bedrijf.com-extensie. Met dit e-mailadres kan je je registreren op een Slack-kanaal en de interne communicatie volgen. Om binnen te dringen in zo’n kanaal, hoef je immers enkel een emailadres te hebben van het desbetreffende bedrijf. Een uitnodiging is niet noodzakelijk. Vanaf dan kan je alle berichten lezen die in de publieke kanalen worden geplaatst.

Vele bedrijven hebben ondertussen hun procedure bijgewerkt, maar nog steeds zijn vele systemen onbeschermd. Daarom besloot de ethische hacker om het beveiligingslek publiek te maken. Slack heeft ondertussen zijn verificatieprocedure aangepast, maar tools zoals Yammer hebben nog geen actie ondernomen.

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here