חולשות ב-Slack ובתמיכת לקוחות: לחדור בקלות לצוות העובדים ולגשת למידע פנימי.

חולשות ב-Slack ובתמיכת לקוחות: לחדור בקלות לצוות העובדים ולגשת למידע פנימי.

ה”האקר האתי” הבלגי, אינטי דה קוקלייר, שחשף את הפרצות: “עלינו לנקוט אמצעים ולמנוע מלחמות סייבר, שעלולות להשפיע על חברות ועל ממשלות”

לפני מספר ימים פרסם ה”האקר האתי” (whitehat hacker) אינטי דה קוקלייר כי הוא הצליח להשיג בקלות גישה למאות חברות, באמצעות תמיכת המשתמשים של החברות או באמצעות חשבון ה-Slack של עובדי החברה.

קוקלייר ניצל את העובדה שהשימוש בכלי תקשורת עסקיים פופולריים כגון Slack, Yammer ו-Facebook Workplace מחייב עובדים להיכנס למערכת באמצעות כתובת הדוא”ל שלהם, הבנויה בקונבנציה הבאה: myname@company e-mail address. לאחר שעובד לוחץ על קישור לאימות הנשלח לכתובת הדוא”ל הפנימית שלו, הוא יכול להצטרף לעובדי הצוות ולגשת לתקשורת פנימית. לדבריו, אבטחת המידע ברשת התקשורת הפנימית של החברה חלשה יותר באופן משמעותי, ונמצא כי עובדים הדביקו מידע רגיש, כגון: סיסמאות, סודות חברה ומידע של לקוחות, בערוצים הנגישים לכל עובדי החברה.

העובדים לא אמורים להשתמש ב-Slack לתקשורת פנימית, אבל…

בשיחה שניהל קוקלייר עם CISO של חברת הענק העוסקת בעיבוד תשלומים, טען קצין האבטחה שהשימוש ב-Slack לא אמור להוות בעיה משום שעובדי החברה אמורים לתקשר זה עם זה באמצעות האינטראנט ולא באמצעות ה-Slack. קוקלייר העמיד את ה-CISO על טעותו לאחר שהצטרף לשמונה ערוצי Slack שמשתמשים בהם יותר מ-300 עובדים בכל רחבי העולם, וכך זכה לתגמול של 5,000 דולר.

איך אדע שהחברה שאני עובד בה נגועה בחולשה כזו?

החולשה קיימת אם ניתן ליצור קריאות שירות באמצעות הדוא”ל, ואם קריאות השירות זמינות למשתמשים עם כתובת דוא”ל שלא עברה אימות. החולשה קיימת גם בכלים פתוחים לטיפול בבעיות או במנגנוני תגובה המספקים כתובת ייחודית (unique@company.com) לשם הגשת מידע ישירות לקריאת שירות, פוסט בפורום, מסר פרטי או חשבון משתמש.

ארגונים כבר אינם יכולים להרשות לעצמם לא לשתף פעולה עם האקרים אתיים

על פי דה קוקלייר, הוא מקבל מדי פעם תשלום על פרצות שהוא חושף. לדבריו הוא “רק רוצה להטביע רושם”. אבל גם משימה זו אינה קלה במיוחד. “לאחת מחברות התכנה שעושה שימוש ב-Slack נדרשו שבועיים כדי להגיב להודעה שלי. זה לא סביר, נראה שאפילו לא אכפת להם שהמשתמשים שלהם סובלים מהמצב הזה”.

אבל האתגר הגדול ביותר שלו הוא לבסס את קיומם של האקרים אתיים כ”מצב הנורמלי החדש”. לטענתו, “כל עוד אתם ממשיכים להאמין שהעסק שלכם מוגן לחלוטין מכל סוג של האקינג, אתם בצרות. אין כזה דבר ‘קוד בטוח’ – אפילו הקודים שלי אינם חסינים משגיאות. ההאקרים הזדוניים (blackhat) תמיד ימצאו דרכים חדשות לחדור את רשת האבטחה. זה כמו להילחם בקרב אבוד, אבל כל פגיעה שניתן להימנע ממנה חשובה”.