Honderden bedrijven zijn kwetsbaar voor een hack waarbij een aanvaller door het aanmaken van een support-ticket toegang tot allerlei gevoelige systemen kan krijgen. Dat ontdekte de Belgische beveiligingsonderzoeker Inti De Ceukelaire. Via een paar muisklikken is het mogelijk om toegang tot intranetten, socialmedia-accounts en Yammer- en Slack-teams te krijgen, aldus de onderzoeker die zijn aanval "Ticket Trick" noemt.

Populaire zakelijke communicatietools zoals Slack, Yammer en Facebook Workplace verplichten dat werknemers zich registreren via hun zakelijke e-mailadres. De werknemer ontvangt na de registratie op zijn zakelijke e-mailadres een e-mail met een verificatielink. Zodra de link wordt geopend kan hij toegang tot de communicatietool en interne communicatie krijgen. Er zijn echter verschillende methoden om deze authenticatie te omzeilen.

Als voorbeeld noemt De Ceukelaire het Slack-team van GitLab, waar alleen medewerkers met een @gitlab.com e-mailadres zich voor kunnen registreren. Iets waar de onderzoeker geen beschikking over heeft. GitLab biedt gebruikers via de supportpagina echter de mogelijkheid om problemen te rapporteren en daarvoor een apart @gitlab.com e-mailadres aan te maken. Met dit e-mailadres kon de onderzoeker zich vervolgens voor het Slack-team van GitLab registreren.

Een andere mogelijkheid zijn de support-portals die bedrijven gebruiken. Gebruikers kunnen hier support-tickets voor problemen aanmaken. Het e-mailadres dat de gebruiker opgeeft om zich voor de support-portal te registreren wordt in veel gevallen niet geverifieerd. Een gebruiker hoeft alleen een e-mailadres op te geven en een wachtwoord en het account wordt aangemaakt. Zodoende kan iemand zich aanmelden met elk willekeurig e-mailadres en elk support-ticket dat door het e-mailadres is aangemaakt lezen.

De Ceukelaire gebruikte deze methode om toegang tot het Slack-team van videosite Vimeo te krijgen. Hiervoor maakte hij op de support-pagina van Vimeo een account aan met het hetzelfde e-mailadres dat Slack gebruikt om de verificatielink te sturen, namelijk feedback@slack.com. Vervolgens registreerde hij zich bij het Slack-team van Vimeo met het adres support@vimeo.com.

Achter de schermen stuurt feedback@slack.com naar support@vimeo.com een e-mail met de verificatielink. Support@vimeo.com ontvangt de e-mail en beschouwt dit als een support-ticket dat door feedback@slack.com is aangemaakt, het e-mailadres waarmee De Ceukelaire zich bij de support-pagina heeft aangemeld. Door op de support-pagina in te loggen kan hij vervolgens het 'ticket' zien en zo toegang tot de verificatielink krijgen.

Volgens de onderzoeker lopen bedrijven risico waar het mogelijk is om via e-mail support-tickets aan te maken en als support-tickets toegankelijk zijn voor gebruikers met niet geverifieerde e-mailadressen. Het probleem doet zich ook voor bij openbare 'issue-trackers' die een uniek @company.com e-mailadres bieden om informatie in een ticket, forumpost, privébericht of gebruikersaccount te zetten. De Ceukelaire stelt dat honderden bedrijven kwetsbaar zijn. Hij heeft besloten de details van de aanval te openbaren, aangezien het onmogelijk is om alle organisaties zelf te informeren.