小心了,上班族!聊天程序或将泄露隐私

Posted on April 30, 2018 at 3:19 PM

小心了,上班族!聊天程序或将泄露隐私

网络安全专家日前发现了利用聊天程序漏洞盗取个人隐私的漏洞,可以通过实时聊天窗口部件盗取员工及其公司的敏感信息。易受攻击的网站是Google和大型银行站点,以及互联网服务提供商和安全软件开发商。

在最近发布的报告中,Project Insecurity公司揭开了多个客户的网络安全硬伤,尤其在他们都关注的即时聊天程序的安全状态方面,均发现了高危漏洞。即时聊天服务是以一个插件应用,由几家大型公司开发和提供的接口服务。网络安全专家Kane Gamble和Cody Zacharias表示,利用漏洞可以冒充本单位的工作人员,而且可以轻而易举的渗透的公司的核心层,造成极大的安全威胁,具体详情参见Pastebin 官网信息。

存在高危漏洞的第三方聊天应用服务商

Gamble和Zacharias已指出以下聊天服务商已发生隐私泄露案例,同时还指出此漏洞还存在其他同类型服务商中:

  • LiveChat Software owned by LiveChatInc,
  • TouchCommerce, recently acquired by Nuance Communications,
  • LivePerson

使用上述服务的公司包括美国银行及其美林分布,Citizens Bank,,Cox Communications,Bell,AT&T,Verizon,Orange,Sprint,Spring,Google Fiber,PayPal,杀毒软件Kaspersky和BitDefender,TorGuard VPN ,特斯拉,迪斯尼和索尼。安全专家说,以上统计并非全部,还有很多公司也引入上述第三方聊天服务。

漏洞泄密成因

非常巧合的是泄露隐私的漏洞均存在于聊天应用的窗口组件中。当于确定对象进行聊天对话时,均是通过POST请求来进行双方身份的确认。虽然不同站点和公司具体聊天信息的封装模式不同,但是专家们都可以在数据包解析出以下基本信息,员工(聊天对象)的全名,地点,身份证明和电子邮箱地址,甚至连他们所属部门和领导信息都会表露无遗。COFEE全称为“计算机在线法庭科学证据提取器(Computer Online Forensic Evidence Extractor)”。Gamble和Zacharias发现了很多在Pastebin使用过程中信息泄密的案例,并分析到漏洞之所以存在,原因在于没有实时对识别信息进行认证的代码。

采取行动

安全专家Zacharias和Gamble已经通知存在漏洞的即时聊天服务商和易受攻击的公司,希望能够迅速升级安全补丁。在后续的报道中,LiveChat官网声明已经解决了此问题。迄今为止,暂无其他公司的有相应更新。


Related Stories:

Newsletter

Get the latest stories straight
into your inbox!

%d bloggers like this: