Honderden interne servicedesks door configuratiefout openbaar
Honderden interne servicedesks van bedrijven en organisaties zijn door configuratiefouten openbaar, waardoor aanvallers allerlei aanvallen kunnen uitvoeren en toegang tot vertrouwelijke gegevens kunnen krijgen. Daarvoor waarschuwt de Belgische beveiligingsonderzoeker Inti De Ceukelaire.
Veel bedrijven maken gebruik van ticketsystemen zoals Jira en Asana voor het verwerken van verzoeken van medewerkers. Volgens De Ceukelaire is een toenemend aantal Jira-servicedesks door configuratiefouten openbaar. Hierdoor kunnen aanvallers accounts aanmaken, zich voordoen als medewerkers en allerlei verzoeken indienen. Doordat mensen vanwege de coronauitbraak thuiswerken is het lastiger om deze verzoeken te controleren, zo stelt De Ceukelaire.
De Belgische onderzoeker was benieuwd bij hoeveel bedrijven hun interne servicedesks openbaar waren. Voor zijn onderzoek maakte De Ceukelaire gebruik van een lijst met tienduizend populaire domeinnamen. Hij vond 1972 Jira-servicedesks, waarvan er 288 (15 procent) voor iedereen op internet toegankelijk waren. "Dit was een toename van twaalf procent ten opzichte van de tests die voor de coronacrisis werden uitgevoerd", merkt de onderzoeker op.
Bij sommige van deze servicedesks maakte De Ceukelaire een account aan en kon zo toegang tot allerlei ticketportals krijgen over onderwerpen als HR, informatiebeveiliging, marketing en andere zaken. Een aanvaller zou via deze portals informatie over medewerkers en klanten kunnen opvragen, multifactorauthenticatie kunnen laten resetten, declaraties indienen, database queries laten uitvoeren, code op de webserver laten uitvoeren, vpn's laten whitelisten en toegang tot interne tools en socialmediakanalen kunnen aanvragen.
Ook was het mogelijk om tickets aan andere medewerkers toe te kennen, waarbij hun e-mailadres en naam werd getoond. De Ceukelaire waarschuwde verschillende bedrijven, maar meer dan 85 procent had geen manier om op "verantwoorde wijze" kwetsbaarheden te rapporteren. Verschillende bedrijven beloonden de onderzoeker voor zijn melding, variërend van 50 dollar tot 10.000 dollar. In dit laatste geval was het mogelijk geweest om via een verzoek aan de helpdesk kwaadaardige code uit te laten voeren. Eén van de bedrijven erkende dat er naast het account van De Ceukelaire een ander ongeautoriseerd account was aangemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.