Szerző: Bodnár Ádám

2014. október 15. 10:30

Cisco WebEx-konferenciákon szivároghattak céges adatok

Érdekes bejegyzés jelent meg Brian Krebs biztonsági szakértő blogján, amely a Cisco WebEx segítségével folytatott konferenciabeszélgetéseket vette górcső alá. Krebs olyan WebEx meetingeket talált a publikus interneten, amelyeket a vállalatok aligha szántak a nagyközönségnek.

Brian Krebs szerint a vállalatok nem kezelik elég óvatosan a Cisco WebExen tartott konferenciahívásaikkal és ezért illetéktelenek férhetnek hozzá bizalmas, belső használatú információkhoz. Nem klasszikus értelemben vett szoftveres sebezhetőségről, bugról van szó, hanem a kényelem miatt nem megfelelően kezelt biztonsági beállítások okoznak információszivárgási problémát egészen nagy vállalatoknál is.

Krebs blogbejegyzése szerint számos nagyvállalat tart a WebExen konferenciahívást ügyfelei vagy partnerei számára. A WrbEx konferenciákat alapesetben jelszó védi az illetéktelenek csatlakozásától, de látszólag sok felhasználó kikapcsolja ezt a lehetőséget, így a beszélgetésbe bárki bekapcsolódhat. A problémát az jelenti, hogy a cégek sokszor belsős, nem nyilvános megbeszéléseik időpontját és más adatait is publikálják egy nyilvános felületen és ezeket a tárgyalásokat sem védik jelszóval, feltehetően a kényelem kedvéért.

Az eredmény: bárki, aki feltelepíti az egyébként szabadon letölthető és ingyen használható WebEx kliensprogramot és hajlandó néhány egyszerű webes keresést lefuttatni, bekapcsolódhat a beszélgetésekbe, ahol néha egészen bizalmas kérdések merülnek fel. Néha már a konfereciahívások résztvevői és témái is többet árulnak el annál, mint amit az adott szervezetek valószínűleg nyilvánosságra szeretnének hozni, de gyakran ott van a WebEx.com weboldal Meeting Center részénél a "join meeting" gomb is, amelyre kattintva bárki belehallgathat a tárgyalásba. Egyes szervezetek esetén még a korábban tartott meetingek anyaga is visszahallgatható volt.

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

A banális hibát nem csak kis cégek követik el, hanem olyan amerikai nagyvállalatok is, amelyek a pénzügyi piacon vagy a távközlésben érdekeltek, évente sokmilliárd dolláros forgalmat bonyolítanak, fejlett informatikai rendszereket üzemeltetnek és bizonyára kompetens IT-biztonsági csapatokat is fizetnek. Brian Krebs szerint olyan szervezetek üzleti beszélgetéseibe lehetett WebExen keresztül belehallgatni mint a CBS, a CVS, a Charles Schwab, a Fannie Mae, a Union Pacific és az Egyesült Államok Enegiaügyi Minisztériuma.

Krebs felfedezését megosztotta a Ciscóval, a cég pedig külön blogbejegyzést szentelt a WebExen folytatott tárgyalások biztonságának. A vállalat azt tanácsolja a felhasználóknak, ne tegyék publikussá azoknak a megbeszéléseknek az adatait, amelyek nem a nyilvánosság bevonásával zajlanak, és minden esetben követeljenek meg erős jelszavakat a résztvevőktől. Legyen kikapcsolva a "join before host" lehetőség, így a meeting gazdája folyamatosan értesül az új belépőkről, és csak a "host" legyen a "presenter", így a tárgyalás vezetőjének engedélye nélkül a résztvevők nem oszthatnak meg információkat.

Kubernetes képzéseinket már közel 300 szakember végezte el. A nagy sikerre való tekintettel a tanfolyamot aktualizált tananyaggal június 18-án újra elindítjuk! A 8 alkalmas, élő képzés képzés órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról