Cisco WebEx-konferenciákon szivároghattak céges adatok
Érdekes bejegyzés jelent meg Brian Krebs biztonsági szakértő blogján, amely a Cisco WebEx segítségével folytatott konferenciabeszélgetéseket vette górcső alá. Krebs olyan WebEx meetingeket talált a publikus interneten, amelyeket a vállalatok aligha szántak a nagyközönségnek.
Brian Krebs szerint a vállalatok nem kezelik elég óvatosan a Cisco WebExen tartott konferenciahívásaikkal és ezért illetéktelenek férhetnek hozzá bizalmas, belső használatú információkhoz. Nem klasszikus értelemben vett szoftveres sebezhetőségről, bugról van szó, hanem a kényelem miatt nem megfelelően kezelt biztonsági beállítások okoznak információszivárgási problémát egészen nagy vállalatoknál is.
Krebs blogbejegyzése szerint számos nagyvállalat tart a WebExen konferenciahívást ügyfelei vagy partnerei számára. A WrbEx konferenciákat alapesetben jelszó védi az illetéktelenek csatlakozásától, de látszólag sok felhasználó kikapcsolja ezt a lehetőséget, így a beszélgetésbe bárki bekapcsolódhat. A problémát az jelenti, hogy a cégek sokszor belsős, nem nyilvános megbeszéléseik időpontját és más adatait is publikálják egy nyilvános felületen és ezeket a tárgyalásokat sem védik jelszóval, feltehetően a kényelem kedvéért.
Az eredmény: bárki, aki feltelepíti az egyébként szabadon letölthető és ingyen használható WebEx kliensprogramot és hajlandó néhány egyszerű webes keresést lefuttatni, bekapcsolódhat a beszélgetésekbe, ahol néha egészen bizalmas kérdések merülnek fel. Néha már a konfereciahívások résztvevői és témái is többet árulnak el annál, mint amit az adott szervezetek valószínűleg nyilvánosságra szeretnének hozni, de gyakran ott van a WebEx.com weboldal Meeting Center részénél a "join meeting" gomb is, amelyre kattintva bárki belehallgathat a tárgyalásba. Egyes szervezetek esetén még a korábban tartott meetingek anyaga is visszahallgatható volt.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
A banális hibát nem csak kis cégek követik el, hanem olyan amerikai nagyvállalatok is, amelyek a pénzügyi piacon vagy a távközlésben érdekeltek, évente sokmilliárd dolláros forgalmat bonyolítanak, fejlett informatikai rendszereket üzemeltetnek és bizonyára kompetens IT-biztonsági csapatokat is fizetnek. Brian Krebs szerint olyan szervezetek üzleti beszélgetéseibe lehetett WebExen keresztül belehallgatni mint a CBS, a CVS, a Charles Schwab, a Fannie Mae, a Union Pacific és az Egyesült Államok Enegiaügyi Minisztériuma.
Krebs felfedezését megosztotta a Ciscóval, a cég pedig külön blogbejegyzést szentelt a WebExen folytatott tárgyalások biztonságának. A vállalat azt tanácsolja a felhasználóknak, ne tegyék publikussá azoknak a megbeszéléseknek az adatait, amelyek nem a nyilvánosság bevonásával zajlanak, és minden esetben követeljenek meg erős jelszavakat a résztvevőktől. Legyen kikapcsolva a "join before host" lehetőség, így a meeting gazdája folyamatosan értesül az új belépőkről, és csak a "host" legyen a "presenter", így a tárgyalás vezetőjének engedélye nélkül a résztvevők nem oszthatnak meg információkat.