Pengalaman Kerja Kantoran
Daftar Isi:
Selama bertahun-tahun, baik organisasi besar maupun kecil telah mulai mengandalkan alat komunikasi seperti Slack untuk komunikasi internal dan kolaborasi. Tetapi kerentanan serius baru saja digali dalam layanan helpdesk pihak ketiga yang dapat membuat siapa pun yang memiliki pengetahuan bisa mendapatkan akses ke komunikasi internal rahasia.
Menurut Inti De Ceukelaire, yang menemukan kerentanan, siapa pun dapat memperoleh akses ke komunikasi internal bahkan ketika administrator atau pengasuh belum secara eksplisit memberikan izin kepada mereka.
Kendur, Mudah Diretas
Ini menjadi semakin penting dalam hal meja bantuan dan pelacak masalah di mana sistem pendukung bergantung pada ID domain yang sama. De Ceukelaire memanfaatkan metode ini untuk melewatinya.
Dia membuat akun di GitHub dan mengangkat tiket melalui email. Setelah itu, ia mendapat akses ke alamat email. Ini kemudian digunakan untuk mendaftar di Slack yang digunakan oleh perusahaan untuk komunikasi internal.
Apakah Helpdesks Otomatis Akan Disalahkan?
Perangkat lunak atau aplikasi Helpdesk memungkinkan pengguna mendapatkan solusi cepat untuk masalah mereka hanya dengan menaikkan tiket atau dengan melaporkan masalah.
Masalah sebenarnya terletak pada sistem verifikasi, yang secara praktis berarti bahwa siapa pun dapat menggunakan alamat email apa pun untuk mendapatkan akses ke informasi yang ditautkan ke akun itu.
De Ceukelaire menulis di blognya, “Kerentanan ini ada jika tiket dukungan dapat dibuat melalui email dan jika tiket dukungan dapat diakses oleh pengguna dengan alamat email yang tidak diverifikasi. Itu juga ada di pelacak masalah publik atau responden yang memberikan alamat email unik @ company.com untuk mengirimkan informasi langsung ke tiket, posting forum, pesan pribadi atau akun pengguna."
: 10 Situs Web Paling Sering Dimanfaatkan oleh PeretasTindakan Pengamanan
Ini perbaikan sederhana, sungguh. Perusahaan dapat dengan mudah mengubah alamat email dukungan mereka sehingga siapa pun tidak bisa mendapatkan akses ke alamat email yang dapat digunakan untuk mendaftar layanan seperti Slack atau Yammer.
Jika Anda masih menggunakan alamat email dukungan, pertimbangkan untuk mengubahnya.
Yahoo Membuka Teknologi Pencariannya ke Pihak Ketiga
Yahoo membuat mesin pencariannya tersedia bagi pihak ketiga untuk membangun layanan pencarian mereka sendiri, dengan imbalan potongan dari ...
Microsoft PDC, WinHEC Akan Menjadi Pihak-Pihak yang Keluar Windows 7
Microsoft akan memberi para pengembang pandangan mendalam pertama mereka pada Windows 7 di PDC dan WinHEC, dimulai pada akhir Oktober.
Microsoft Ingin Orang-Orang Melempar Pihak-Pihak Peluncuran Windows 7
Microsoft telah bekerja sama dengan House Party untuk membantu orang-orang mengadakan pesta peluncuran Windows 7.