Deze website maakt gebruik van cookies. Voor meer informatie over de cookies waarvan deze website gebruik maakt klik hier.
Door verder op deze website te surfen geeft u de toestemming aan Minoc Data Services om cookies te gebruiken. verder gaan
 

Belgische hacker ontdekt beveiligingslek in helpdesks

Thomas Bossuyt

 
Via het lek kunnen hackers inbreken in honderden bedrijven. Een ongewenste bezoeker kan zo een kijkje nemen in de interne communicatiekanalen, zoals Slack.

 

De Belgische ethische hacker Inti De Ceukelaire heeft een foutje ontdekt in het helpdeskmechanisme van organisaties, zo schrijft hij in een blogpost. Via het beveilgingslek kon hij binnendringen in interne communicatiekanalen van een bedrijf, zoals via Slack. Daarnaast kon hij zich ook toegang verschaffen tot intranets en accounts van sociale media zoals Twitter.

 

Ticket Trick

Hij noemt het foutje zelf de ‘Ticket Trick’. Als je een ticket aanmaakt bij een helpdesk, krijg je vaak een uniek virtueel emailadres toegeschreven met een @bedrijf.com-extensie. Met dit e-mailadres kan je je registreren op een Slack-kanaal en de interne communicatie volgen. Om binnen te dringen in zo’n kanaal, hoef je immers enkel een emailadres te hebben van het desbetreffende bedrijf. Een uitnodiging is niet noodzakelijk. Vanaf dan kan je alle berichten lezen die in de publieke kanalen worden geplaatst.

 

 

Vele bedrijven hebben ondertussen hun procedure bijgewerkt, maar nog steeds zijn vele systemen onbeschermd. Daarom besloot de ethische hacker om het beveiligingslek publiek te maken. Slack heeft ondertussen zijn verificatieprocedure aangepast, maar tools zoals Yammer hebben nog geen actie ondernomen.

 

Reacties

comments powered by Disqus
 

RECENT NIEUWS

Sophos Security Day België 2019

17 Oktober   |