LiveChat, TouchCommerce-asiakastukialustat, jotka vuotavat arkaluontoisia työntekijöitä koskevia tietoja

Parhaat käytännöt yrityksesi arkaluontoisten tietojen suojaamiseksi tekevät turvallisuudesta KPI: n sekä johtajille että arkistointityöntekijöille, sanoo Secure Anchorin toimitusjohtaja Eric Cole.
Liukukannen, sävelkorkeuden tai esityksen rakentaminen? Tässä ovat suuret otot:
  • Hyödyntämisen ansiosta hakkerit näkevät työntekijöiden tiedot LiveChat- ja TouchCommerce-alustoja käyttävistä tukiasioista.
  • Tiedot olisivat erityisen hyödyllisiä sosiaalisen suunnittelun hyökkäyksissä, mikä mahdollistaa hakkereiden syvemmän pääsyn yrityksen sisäisiin työkaluihin.

Riippumattomien tietoturvatutkijoiden Cody Zachariasin ja Kane Gamblen mukaan on todettu, että LiveChat ja TouchCommerce - kaksi suosittua alustaa live-chat-ratkaisujen tarjoamiseksi myynnin ja asiakastuen käyttötapauksissa - vuotavat työntekijöitä koskevia tietoja. Paljastuksen mukaan vuotaneisiin tietoihin voi sisältyä työntekijän koko nimi ja henkilötunnus, työntekijän esimiesten ja / tai johtajien koko nimi ja henkilötunnus, työntekijän sijainti ja sähköpostiosoite, keskuksen nimi ja mitä työkaluja tai ohjelmia työntekijä käyttää.

Tiedot sisältyvät chat-komentosarjan tekemiin POST-pyyntöihin yhteydenpidossa tuki- tai myyntiedustajan kanssa. Tutkijoiden mukaan tietoja voidaan tarkastella selaimen verkkotyökaluilla tai vianetsintäpaketilla, kuten Burp Suite.

Siirrettävän tiedon tarkka luonne vaihtelee sen mukaan, miten tarkkaan tapa, jolla kukin tätä tekniikkaa lisensoiva yritys toteuttaa chat-palvelut. Tutkijat ilmoittavat, että vuotanut tieto "on kaikkea mitä henkilö tarvitsee menestyksekkäästi suorittaakseen yhteiskunnallisia hyökkäyksiä yritystä vastaan" ja lisäsi, että: "Tämä voi johtaa siihen, että joku pääsee työntekijöiden työkaluihin ja jopa antaa heille mahdollisuuden jalansijaan sisäisessä toiminnassa. verkko ".

Zacharias ja Gamble väittävät ottaneensa haavoittuvuudesta yhteyden LiveChatiin ja Nuance Communicationsiin, jotka ostivat TouchCommercein vuonna 2006. Raportti osoittaa, että toimittajat eivät ole korvanneet haavoittuvuutta, mutta se ei ilmoita, kuinka kauan ilmoitus ja julkinen tiedottaminen ovat tapahtuneet.

Tämän haavoittuvuuden potentiaaliset vaikutukset ovat kohtalaisen suuret, kun otetaan huomioon suuri joukko korkean profiilin organisaatioita, jotka käyttävät kahta nimettyä live-chat-ratkaisua. Tiedonannon mukaan Sprint, AT&T, Verizon, Bell, Cox Communications, Bank of America, Merrill Lynch ja Citizens Bank ovat ottaneet käyttöön TouchCommerce-palvelun. ja Google Fiber, Kaspersky Labs, Bitdefender ja TorGuard VPN käyttävät LiveChat-ohjelmistoa. Markkinatutkimusyritys HG Data näyttää 717 yritystä, jotka käyttävät TouchCommercea, muun muassa EISSION ja MetLife; ja 8532 käyttävät LiveChatia, mukaan lukien BMW, HostWinds ja Ricoh.

Kane Gamble, yksi tutkimuksen löytäneistä tutkijasta, on entinen mustahattu hakkeri, joka tuntee hyvin sosiaalisen insinöörin hyökkäykset. Kesäkuun 2015 ja helmikuun 2016 välisenä aikana, 15-vuotiaana, Gamble kohdisti silloisen CIA: n päällikön John Brennanin, FBI: n apulaisjohtaja Mark Giulianon ja kotimaan turvallisuussihteerin Jeh Johnsonin. Hän sai pääsyn Brennanin henkilökohtaiseen AOL-sähköpostitiliin ja pystyi kuuntelemaan ääniviestejä ja lähettämään tekstejä Johnsonin henkilökohtaisesta matkapuhelimesta, The Independent -lehden raportin mukaan.

Päivitys: LiveChatin edustaja kertoi TechRepublicille "valmistelemme korjausta, jonka avulla työntekijöiden henkilötietoja ei voida paljastaa LiveChatin kautta keskusteltaessa". Edustaja väitti myös, että vuoteen TouchCommerce verrattuna "vuoto antaa mahdollisuuden löytää vain sen agentin sähköpostiosoitteen, jonka kanssa keskustelet." TechRepublic ei ole itsenäisesti todennut vaatimusta.

Kyberturvallisuuden sisäpiirilehti

Vahvista organisaatiosi tietoturvamekanismeja pitämällä ajan tasalla viimeisimmät tietoturvatiedotteet, ratkaisut ja parhaat käytännöt. Toimitetaan tiistaisin ja torstaisin

Rekisteröidy tänään

Katso myös

  • Suuren vakoojatoimiston salaisuus 2000-luvulla: Aloittavien inkubointi (kansitarina PDF) (TechRepublic)
  • Cambridge Analytica: Huono juliste-lapsi tietojen väärinkäytöstä (ZDNet)
  • Chaos Engineering: Huijarilehti (TechRepublic)
  • Iranin hakkerit rikkovat Singaporen yliopistoja pääsemään tutkimustietoihin (ZDNet)
  • Panera Leipä -verkkosivut vuotivat asiakastietoja 8 kuukauden ajan, ”korjaus” ei onnistunut korjaamaan virhettä (TechRepublic)
Kuva: iStockphoto / GeorgeRudy

© Copyright 2020 | mobilegn.com