A lo largo de los años, tanto las grandes como las pequeñas organizaciones han empezado a confiar en herramientas de comunicación como Slack para la comunicación interna y la colaboración. Pero se acaba de descubrir una grave vulnerabilidad en los servicios de asistencia técnica de terceros que podría permitir que cualquier persona con los conocimientos técnicos tuviera acceso a comunicaciones internas confidenciales.
Según Inti De Ceukelaire, que descubrió la vulnerabilidad, cualquier persona puede acceder a la comunicación interna incluso cuando el administrador o el cuidador no le ha dado permiso explícito.
Flojo, fácil de cortar
Esto es aún más crítico en el caso de los servicios de asistencia técnica y los rastreadores de problemas, en los que el sistema de soporte se basa en identificadores de dominio similares. De Ceukelaire explotó este mismo método para conseguirlo.
Creó una cuenta en GitHub y recaudó una entrada por correo electrónico. Después de eso, tuvo acceso a la dirección de correo electrónico. Esto se utilizó más tarde para registrarse en Slack que estaba siendo utilizado por la empresa para comunicaciones internas.
¿Se debe culpar a los servicios de ayuda automatizados?
El software o las aplicaciones del HelpDesk permiten a los usuarios obtener una solución rápida a sus problemas simplemente planteando solicitudes o informando de los problemas.
El verdadero problema reside en el sistema de verificación, lo que significa prácticamente que cualquier persona puede utilizar cualquier dirección de correo electrónico para acceder a la información vinculada a esa cuenta.
De Ceukelaire escribió en su blog: «Esta vulnerabilidad existe si los tickets de soporte se pueden crear a través del correo electrónico y si los tickets de soporte son accesibles para los usuarios con una dirección de correo electrónico no verificada. También existe en los rastreadores o respondedores de problemas públicos que proporcionan una dirección de correo electrónico @company.com única para enviar información directamente a un ticket, mensaje en el foro, mensaje privado o cuenta de usuario».
Leer más : 10 sitios web explotados con más frecuencia por hackers
Medidas de seguridad
Es una solución simple, en realidad. Las empresas pueden simplemente cambiar sus direcciones de correo electrónico de soporte para que cualquier persona no pueda tener acceso a las direcciones de correo electrónico que se pueden utilizar para suscribirse a servicios como Slack o Yammer.
Si sigue utilizando una dirección de correo electrónico de soporte, considere la posibilidad de cambiarla.
Última actualización el 8 de febrero de 2018