移动办公软件huddle漏洞或致16万家机构敏感信息泄露
- 作者: freebuf
- 分类:新闻
据英国媒体bbc报道,安全研究人员于近期访问毕马威会计师事务所(kpmg)共享的工作日志时意外发现:英国协同办公软件 huddle存在一处安全漏洞,致使用户敏感信息在线泄露。目前,该研究人员已通过与毕马威无关的签名证书获取了毕马威的财务信息。由于英国国家卫生服务组织nhs、内政部和税务及海关部等超过 16 万家机构均使用了该办公软件处理企业工作,所以这些机构也因此面临极大的数据泄露风险。
huddle 软件是一款文档协作类应用,它可在个人电脑和移动设备上对企业数据同步协作和管理。
据了解,利用huddle的漏洞,不同的用户在20毫秒内进行二次认证登录,得到的授权密码却是一样的,这意味着在双因素验证过程中,第一位点击链接输入密码的人与下一位用户将被认为是同一个人,并被授予前者的所有权限。据称,该漏洞影响了今年 3 月至 11 月期间的六位客户会话,并证实第三方供应商可能已经访问了大量目标客户敏感信息。官方发言人表示,“曾在某个同一时间段内 huddle 发生过四千九百多万次登录,发生这种错误的情况非常罕见”。
huddle 随后发表声明,宣称公司对于此次事件的发生深表歉意,他们正与其所有合作厂商取得联系,以便妥善解决此类问题。
虽然企业办公应用在权限、准入等方面已经设置了严格的流程和合规管理方案,但只要是软件就会有漏洞。一旦漏洞被攻击者发现和利用,造成的损害将巨大且难以挽回,企业级应用更甚。攻击者也一直致力于寻找被广泛使用的应用的漏洞,以展开大面积的攻击,针对微软office的挖洞从来没有停止过,ccleaner更新被植入恶意代码后的二次攻击隐患依然巨大,微信、whatsapp漏洞的黑市收购价高达50万美元/个……
正如huddle打通了pc、手机和pad,移动办公已经成为企业oa的必选项。不同于传统pc办公,场地固定、定时开关机、软件安全性高、数据内外网分离;移动场景下的分散的设备、24小时开机状态、复杂的网络环境、轻便而易被攻破的应用程序,以及广泛存储于移动设备上的数据,这些都为攻击者盗取企业敏感信息打开了方便之门。而移动应用存在的漏洞被攻击者利用的安全隐患也比传统pc更为严重。
移动安全,是个问题;企业的移动化安全,更是cio和cso们大问题。试问作为企业安全人员,你会怎么做?
欢迎留下你的建议,若被采纳,我们将有好礼相送!
2017.11/15 freebuf