LiveChat, TouchCommerce kundesupportplattformer som lekker sensitiv medarbeiderinfo

Beste praksis for å beskytte bedriftens sensitive data Gjør sikkerhet til et KPI for ledere så vel som rang-and-file-ansatte, sier administrerende direktør i Secure Anchor Eric Cole.
Bygge et lysbilde dekk, tonehøyde eller presentasjon? Her er de store takeaways:
  • En utnyttelse lar hackere se informasjon om ansatte om støtteagenter som bruker LiveChat- og TouchCommerce-plattformene.
  • Informasjonen vil være spesielt nyttig i sosiale ingeniørangrep, og potensielt gi hackere dypere tilgang til interne bedriftsverktøy.

Det er funnet at LiveChat og TouchCommerce - to populære plattformer for å tilby live chat-løsninger for salg og kundesupport-brukssaker - lekker informasjon om ansatte, ifølge uavhengige sikkerhetsforskere Cody Zacharias og Kane Gamble. I følge avsløringen kan den lekkede informasjonen inneholde fullt navn og ID til en ansatt, fullt navn og ID på veiledere og / eller ledere for den ansatte, arbeidstakerens beliggenhet og e-postadresse, senternavnet og hvilke verktøy eller programmer den ansatte bruker.

Informasjonen er inkludert i POST-forespørslene fra chat-skriptet når du kommuniserer med en support eller salgsagent. I følge forskerne kan informasjonen vises ved hjelp av nettverksnettverktøy i nettleseren, eller en feilsøkingspakke som Burp Suite.

Avhengig av nøyaktig hvordan hvert selskap som lisensierer denne teknologien implementerer chattetjenestene, varierer den nøyaktige arten av informasjonen som overføres. Forskerne indikerer at informasjonen som er lekket "er alt en person vil trenge for å utføre sosialtekniske angrep mot selskapet", og la til at: "Dette kan føre til at noen får tilgang til ansattes verktøy og til og med lar dem få fotfeste i det interne Nettverk."

Zacharias og Gamble hevder å ha kontaktet LiveChat og Nuance Communications, som kjøpte TouchCommerce i 2006, om sårbarheten. Rapporten indikerer at leverandørene ikke har løst sårbarheten, men indikerer ikke hvor lang tid mellom varsling og offentliggjøring.

Den potensielle effekten av dette sikkerhetsproblemet er moderat høyt, gitt antallet store, høyprofilerte organisasjoner som bruker de to navngitte live chat-løsningene. Avsløringen navngir Sprint, AT&T, Verizon, Bell, Cox Communications, Bank of America, Merrill Lynch og Citizens Bank som å ha distribuert TouchCommerce; og Google Fiber, Kaspersky Labs, Bitdefender og TorGuard VPN når de bruker LiveChat-programvare. Markedsundersøkelsesfirmaet HG Data viser 717 selskaper som bruker TouchCommerce, blant dem Esurance og MetLife; og 8, 532 ved bruk av LiveChat, inkludert BMW, HostWinds og Ricoh.

Kane Gamble, en av forskerne som oppdaget problemet, er en tidligere black-hat-hacker som er godt kjent med angrep på sosialt teknisk nivå. Mellom juni 2015 og februar 2016, i en alder av 15 år, målrettet Gamble daværende CIA-sjef John Brennan, FBIs nestleder Mark Giuliano, og Sekretær for hjemlandssikkerhet Jeh Johnson. Han fikk tilgang til Brennans personlige AOL-e-postkonto, og klarte å høre på telefonsvarer og sende tekster fra Johnsons personlige mobiltelefon, ifølge en rapport fra The Independent.

Oppdatering: En representant fra LiveChat sa til TechRepublic "vi forbereder en løsning for å gjøre personopplysningene til ansatte umulige å eksponere mens de chatter via LiveChat." Representanten hevdet også at sammenlignet med TouchCommerce, "Lekkasjen tillater bare å oppdage e-postadressen til agenten du chatter med." TechRepublic har ikke uavhengig verifisert dette kravet.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

Se også

  • Hemmeligheten bak å være et stort spionagentur i det 21. århundre: Inkubere startups (cover story PDF) (TechRepublic)
  • Cambridge Analytica: Det dårlige plakatet for misbruk av data (ZDNet)
  • Chaos Engineering: Et jukseark (TechRepublic)
  • Iranske hackere bryter Singapore-universitetene for å få tilgang til forskningsdata (ZDNet)
  • Panera Bread-nettstedet lekket kundedata i 8 måneder, 'fix' kunne ikke opprette feil (TechRepublic)
Bilde: iStockphoto / GeorgeRudy

© Copyright 2021 | pepebotifarra.com