一个 Zendesk 漏洞允许网络攻击者访问敏感的客户信息。
一位名叫 Daniel 的 15 岁漏洞猎人与 HackerOne(一个由道德黑客测试公司网络安全防御弱点的平台)合作,在未经授权的情况下访问了多个客户支持单。
在 X 上分享的一篇博客中,Daniel 详细介绍了他是如何找到并暴露 Zendesk 系统漏洞的。
可以说,Zendesk 及其用户最担心的是漏洞的简单性。
Daniel 强调了 Zendesk 电子邮件协作功能的不足之处,这使得供应商很容易受到电子邮件欺骗的影响。
潜在的攻击者只需要支持电子邮件地址和票据 ID(由于使用连续 ID,因此通常可以预测)。
然后,他们就可以从原始请求者的地址发送电子邮件,并将自己复制进去,从而在未经授权的情况下访问支持票单。
由于缺乏对欺骗攻击的保护,使用单点登录配置的公司的安全系统很容易被绕过,攻击者可以加入任何活动的支持对话并访问敏感的客户信息。
但漏洞并没有就此结束。
为了说明该漏洞的严重性,Daniel 还展示了如何利用该漏洞访问部署 Zendesk 系统的公司的私人 Slack 工作区。
Daniel 用一家公司的支持电子邮件创建了一个苹果账户,并申请了一个验证码,从而利用欺骗电子邮件的安全漏洞访问了 Zendesk 支持票据。
然后,这位漏洞猎人就可以使用 “用 Apple 登录 ”功能进入私人 Slack 频道,再次获取机密信息。
那么,鉴于可能发生的漏洞的严重性,Zendesk 是如何应对的呢?
Zendesk 的回应
尽管 Daniel 成功利用了 Zendesk 系统的安全漏洞,但当他通过该公司的漏洞赏金计划报告该问题时却遭到了拒绝。
在 Daniel 发布的与 Zendesk 的电子邮件链截图中,该公司声明如下:
“虽然我们承认未经授权访问支持票证的能力是一件严重的事,但 Zendesk 的政策在赏金不合格问题部分明确列出了“SPF、DKIM、DMARC 问题”。
由于该漏洞的根本原因涉及通过绕过电子邮件身份验证协议进行电子邮件欺骗,因此它完全属于该政策排除的问题。
正是这个回复促使 Daniel 当时揭露了额外的 Slack 漏洞,并将他的发现带给一些使用 Zendesk 技术的个人公司。
这样一来,这位少年漏洞猎人从这些公司获得了超过 50,000 美元的赏金,但却没有从 Zendesk 得到一分钱。
不过,今年 7 月,该供应商确认已通过引入过滤器自动阻止某些类型的电子邮件(包括 Apple 用户验证电子邮件和来自 Google 的非交易电子邮件)解决了该问题。
自从 Daniel 在博客中详细介绍了电子邮件欺骗漏洞以及他与 Zendesk 的沟通后,该公司也在其 Zendesk 帮助网页上发布的帖子中做出了回应。
在帖子中,Zendesk 产品经理Sean Cusick强调“没有证据表明该漏洞被不良行为者利用”。
在澄清他所说的“供应链漏洞”时,Cusick解释说,这是许多公司由于整合现代商业工具而面临的常见安全问题。
他还建议,虽然该漏洞已得到解决,但 Zendesk 客户应该“实施有关用户验证的最佳实践”,例如使用两步验证、利用子域名发送支持电子邮件以及保护管理敏感信息的第三方系统。
最后,Cusick 直接回应了 Daniel 对 Zendesk 赏金计划的批评,称他“在补救措施之前直接联系第三方报告,违反了关键的道德原则。
这违反了漏洞赏金服务条款,该条款是行业标准,旨在保护白帽社区,同时支持负责任的披露。
“由于我们对负责任的披露有着严格的标准,这种违背信任的行为导致他们失去了奖励。”
原文:https://www.cxtoday.com/crm/hacker-exposes-zendesk-security-flaw-accesses-confidential-customer-info/
本文来自作者投稿,版权归原作者所有。如需转载,请注明出处:https://www.nxrte.com/zixun/53057.html
