LiveChat, TouchCommerce kundesupportplatforme lækker følsomme medarbejderinfo

Bedste fremgangsmåder til beskyttelse af din virksomheds følsomme data Gør sikkerhed til et KPI for ledere såvel som rang-and-file-medarbejdere, siger Secure Anchor CEO Eric Cole.
Bygger du et lysdæk, tonehøjde eller præsentation? Her er de store takeaways:
  • En udnyttelse giver hackere mulighed for at se medarbejderinformation om supportagenter, der bruger LiveChat og TouchCommerce platforme.
  • Oplysningerne vil være særligt nyttige i social engineering angreb, og potentielt give hackere en dybere adgang til interne virksomhedsværktøjer.

Det har vist sig, at LiveChat og TouchCommerce - to populære platforme til levering af live-chatløsninger til salg og kundesupport-brugssager - lækker medarbejderinformation, ifølge uafhængige sikkerhedsforskere Cody Zacharias og Kane Gamble. I henhold til afsløringen kan de lækkede oplysninger omfatte det fulde navn og ID på en medarbejder, det fulde navn og id på de tilsynsførende og / eller ledere for den pågældende medarbejder, medarbejderens placering og e-mail-adresse, centernavnet og hvilke værktøjer eller programmer medarbejderen bruger.

Oplysningerne er inkluderet i POST-anmodninger fra chat-scriptet, når de kommunikerer med en support eller salgsagent. Ifølge forskerne kan informationen ses ved hjælp af browser-netværksværktøjer eller en debugging-pakke som Burp Suite.

Afhængigt af den nøjagtige måde, hvorpå hver virksomhed, der licenserer denne teknologi, implementerer chat-tjenesterne, varierer den nøjagtige art af de informationer, der transmitteres. Forskerne viser, at de lækkede oplysninger "er alt, hvad en person har brug for for at kunne udføre socialtekniske angreb mod virksomheden, " og tilføjede, at: "Dette kan føre til, at nogen får adgang til medarbejderværktøjer og endda giver dem mulighed for at få fodfæste i det interne netværk ".

Zacharias og Gamble hævder at have kontaktet LiveChat og Nuance Communications, der erhvervede TouchCommerce i 2006, om sårbarheden. Rapporten viser, at leverandørerne ikke har rettet sårbarheden, men angiver ikke længden af ​​tid mellem anmeldelse og denne offentliggørelse.

Den potentielle virkning af denne sårbarhed er moderat høj i betragtning af antallet af store, højprofilerede organisationer, der bruger de to navngivne live chatløsninger. Videregivelsen navngiver Sprint, AT&T, Verizon, Bell, Cox Communications, Bank of America, Merrill Lynch og Citizens Bank som at have implementeret TouchCommerce; og Google Fiber, Kaspersky Labs, Bitdefender og TorGuard VPN, når de bruger LiveChat-software. Markedsundersøgelsesfirmaet HG Data viser 717 virksomheder, der bruger TouchCommerce, herunder Esurance og MetLife; og 8.532 ved hjælp af LiveChat, inklusive BMW, HostWinds og Ricoh.

Kane Gamble, en af ​​forskerne, der opdagede spørgsmålet, er en tidligere black-hat-hacker, der er velbevandret i social engineering-angreb. Mellem juni 2015 og februar 2016, i en alder af 15 år, målrettede Gamble den daværende CIA-chef John Brennan, FBIs viceadministrerende direktør Mark Giuliano og Homeland Securitys sekretær Jeh Johnson. Han fik adgang til Brennens personlige AOL-e-mail-konto og var i stand til at lytte til telefonsvarer og sende tekster fra Johnsons personlige mobiltelefon, ifølge en rapport fra The Independent.

Opdatering: En repræsentant fra LiveChat fortalte TechRepublic "vi forbereder en rettelse for at gøre personlige data fra medarbejderne umulige at udsætte, mens de chatter via LiveChat." Repræsentanten hævdede også, at sammenlignet med TouchCommerce, "lækagen tillader kun at opdage e-mail-adressen på den agent, du chatter med." TechRepublic har ikke uafhængigt verificeret dette krav.

Cybersecurity Insider Nyhedsbrev

Styrke din organisations IT-sikkerhedsforsvar ved at holde dig ajour med de seneste cybersecurity-nyheder, løsninger og bedste praksis. Leveres tirsdage og torsdage

Tilmeld dig i dag

Se også

  • Hemmeligheden bag at være et stort spionagentur i det 21. århundrede: Inkubation af nystartede virksomheder (cover story PDF) (TechRepublic)
  • Cambridge Analytica: Det dårlige plakatbarn for misbrug af data (ZDNet)
  • Chaos Engineering: Et snyderi (TechRepublic)
  • Iranske hackere overtræder Singapore universiteter for at få adgang til forskningsdata (ZDNet)
  • Panera Bread website lækkede kundedata i 8 måneder, 'fix' kunne ikke lave fejl (TechRepublic)
Billede: iStockphoto / GeorgeRudy

© Copyright 2021 | mobilegn.com