示意圖,與新聞事件無關。

兩名安全研究人員Cody Zacharias及Kane Gamble近日指出,包括LiveChat、TouchCommerce與LivePerson等線上客服工具都含有可洩露員工資訊的安全漏洞,可能危及使用這些工具的企業組織,涵蓋Sprint、AT&T、Google與美國銀行(Bank of America)等。

根據研究人員的說法,這些客服工具都具備同樣的漏洞,當客戶與客服聊天時,在回應POST請求時就會洩露詳細的客服人員資訊,包括客服人員的全名、員工編號、位置、電子郵件,或是主管的姓名/員工編號與客服中心的名稱,只要利用瀏覽器的網路工具或Burp Suite就能截獲相關資料。

Zacharias與Gamble針對LiveChat及TouchCommerce展示了兩個概念性驗證攻擊,其中一個是針對Google Fiber團隊所使用的LiveChat,另一個則是Verizon所使用的TouchCommerce,皆成功取得了Google Fiber與Verizon的員工資料。

儘管該漏洞所外洩的並非屬於非常機密的資訊,但研究人員認為這些訊息已足以讓駭客偽裝成這些企業員工,展開社交工程攻擊,進而滲透企業網路。

該漏洞與客服工具的配置及設定有關,因此並非所有使用上述工具的企業都會受到影響,然而,光是LiveChat就宣稱自己在全球擁有2.4萬家企業客戶。相關業者並未回應亦尚未修補此一漏洞。

熱門新聞

Advertisement