SCP-093 Red Sea Object | object class euclid | portal / extradimensional scp
Πίνακας περιεχομένων:
Με τα χρόνια, τόσο οι μεγάλες όσο και οι μικρές οργανώσεις έχουν αρχίσει να βασίζονται σε εργαλεία επικοινωνίας όπως το Slack για εσωτερική επικοινωνία και συνεργασία. Αλλά μια σοβαρή ευπάθεια μόλις αποκαλύφθηκε στις υπηρεσίες υποστήριξης τρίτων που θα μπορούσαν να επιτρέψουν σε οποιονδήποτε με την τεχνογνωσία να αποκτήσει πρόσβαση σε εμπιστευτικές εσωτερικές επικοινωνίες.
Σύμφωνα με την Inti De Ceukelaire, ο οποίος ανακάλυψε την ευπάθεια, ο καθένας μπορεί να αποκτήσει πρόσβαση στην εσωτερική επικοινωνία ακόμα και όταν ο διαχειριστής ή ο φύλακας δεν του έχει δώσει ρητά άδεια.
Χαλαρή, εύκολη στην αποτυχία
Αυτό καθίσταται ακόμη πιο κρίσιμο σε περίπτωση γραφείων υποστήριξης και εντοπισμού σφαλμάτων, όπου το σύστημα υποστήριξης βασίζεται σε παρόμοια αναγνωριστικά τομέα. Ο De Ceukelaire εκμεταλλεύτηκε αυτήν την ίδια μέθοδο για να περάσει.
Δημιούργησε έναν λογαριασμό στο GitHub και έφερε ένα εισιτήριο μέσω ηλεκτρονικού ταχυδρομείου. Μετά από αυτό, πήρε πρόσβαση στη διεύθυνση ηλεκτρονικού ταχυδρομείου. Αυτό χρησιμοποιήθηκε στη συνέχεια για να εγγραφεί στο Slack που χρησιμοποιούσε η εταιρεία για εσωτερικές επικοινωνίες.
Τα αυτοματοποιημένα γραφεία βοήθειας να κατηγορηθούν;
Το λογισμικό ή οι εφαρμογές Helpdesk επιτρέπουν στους χρήστες να βρουν μια γρήγορη λύση στα προβλήματά τους, απλά συγκεντρώνοντας εισιτήρια ή αναφέροντας ζητήματα.
Το πραγματικό πρόβλημα έγκειται στο σύστημα επαλήθευσης, το οποίο πρακτικά σημαίνει ότι οποιοσδήποτε μπορεί να χρησιμοποιήσει οποιαδήποτε διεύθυνση ηλεκτρονικού ταχυδρομείου για να αποκτήσει πρόσβαση στις πληροφορίες που σχετίζονται με αυτόν το λογαριασμό.
Ο De Ceukelaire έγραψε στο blog του: "Αυτή η ευπάθεια υπάρχει εάν τα εισιτήρια υποστήριξης μπορούν να δημιουργηθούν μέσω ηλεκτρονικού ταχυδρομείου και αν τα εισιτήρια υποστήριξης είναι προσβάσιμα από χρήστες με μη επαληθευμένη διεύθυνση ηλεκτρονικού ταχυδρομείου. Υπάρχει επίσης σε ιχνηλάτες δημοσίων αποστολών ή ανταποκριτές που παρέχουν μια μοναδική διεύθυνση ηλεκτρονικού ταχυδρομείου @ company.com για να υποβάλλουν πληροφορίες απευθείας σε εισιτήριο, δημοσίευση φόρουμ, ιδιωτικό μήνυμα ή λογαριασμό χρήστη."
: 10 Ιστοσελίδες που χρησιμοποιούνται συχνότερα από τους χάκερΜέτρα ασφαλείας
Είναι μια απλή λύση, πραγματικά. Οι εταιρείες μπορούν απλά να αλλάξουν τις διευθύνσεις ηλεκτρονικού ταχυδρομείου υποστήριξής τους έτσι ώστε να μην μπορεί κανείς να αποκτήσει πρόσβαση σε διευθύνσεις ηλεκτρονικού ταχυδρομείου που μπορούν να χρησιμοποιηθούν για την εγγραφή σε υπηρεσίες όπως το Slack ή το Yammer.
Εάν εξακολουθείτε να χρησιμοποιείτε μια διεύθυνση ηλεκτρονικού ταχυδρομείου υποστήριξης, σκεφτείτε να την αλλάξετε.
Η Oracle μήνυσε το SAP πέρυσι, υποστηρίζοντας ότι οι υπάλληλοι της TomorrowNow, πάροχος υπηρεσιών υποστήριξης τρίτων για τους Siebel, PeopleSoft και JD Edwards της Oracle παραλήφθηκαν παράνομα από τα συστήματα υποστήριξης της Oracle και τα χρησιμοποίησαν για να προσελκύσουν τους πελάτες της Oracle.
Η SAP δήλωσε ότι οι εργαζόμενοι της TomorrowNow έκαναν "ακατάλληλες λήψεις" από την τοποθεσία της Oracle, αλλά απέρριψαν τα αιτήματα της Oracle για ευρύτερο μοτίβο κακοποίησης. Η SAP έχει κινηθεί από τότε για να κλείσει το TomorrowNow μετά την αποτυχία να βρει έναν αγοραστή.
1. Ο Ομπάμα περιγράφει τα σχέδια για την ασφάλεια στον κυβερνοχώρο, αναφέρει ότι υπάρχει σοβαρή απειλή για τον κυβερνοχώρο και η νέα κατεύθυνση ασφάλειας του Ομπάμα κερδίζει έπαινο: Η ασφάλεια στον κυβερνοχώρο θα αποτελέσει κορυφαία προτεραιότητα διαχείρισης για την αμερικανική κυβέρνηση, με σχέδια συντονιστή να επιβλέπει κυβερνητικές προσπάθειες στον τομέα αυτό. "Είναι πλέον σαφές ότι αυτό το Cyberthreat είναι μία από τις πιο σοβαρές προκλήσεις οικονομικής και εθνικής ασφάλειας που αντιμετ
2. Η Bing και η Bing: Μια οπτική περιήγηση για τα νέα: Όπως αναμενόταν, η Microsoft μετονομάστηκε σε προϊόν "Live Bing", καθώς ανακαινίζει την τεχνολογία αναζήτησης και προσπαθεί να κάνει επιδρομές στο Google σε αυτή την αγορά. Το Tom Spring της PC World εξέτασε μια έκδοση προεπισκόπησης και έφυγε εντυπωσιασμένος (δεν υπάρχει μικρό επίτευγμα) και προσφέρει στους αναγνώστες μια οπτική περιήγηση καθώς και την ανασκόπηση του Bing.
Μια νέα σειρά κατευθυντήριων γραμμών για την ασφάλεια στον κυβερνοχώρο, που δημοσιεύθηκε από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των ΗΠΑ (NIST), δεν επαρκεί για την προστασία που απαιτείται για τα κυβερνητικά συστήματα, δήλωσε μια ομάδα ανάλυσης και υποστήριξης στον κυβερνοχώρο. για μη ταξινομημένα δεδομένα σε πολιτικούς οργανισμούς, που κυκλοφόρησε στις 31 Ιουλίου, αφήνει πολλά ομοσπονδιακά συστήματα πληροφορικής από τις υψηλότερες απαιτήσεις ασφαλείας, σύμφωνα με το Cyber Secure In
Το πρόβλημα είναι ότι πολλά ευαίσθητα ομοσπονδιακά συστήματα θα πέσουν στην κατηγορία μέτριου αντίκτυπου, συμπεριλαμβανομένων των συστημάτων που περιέχουν πληροφορίες σχετικά με τις "εξαιρετικά ευαίσθητες" έρευνες στον ομοσπονδιακό νόμο δήλωσε ο Rob Housman, εκτελεστικός διευθυντής στο CSI. Τα ηλεκτρονικά δεδομένα για την υγεία θα φαίνεται να εμπίπτουν και στην κατηγορία μέτριας επίδρασης.