一、前言
几个月以前,我发现了一个漏洞,黑客们利用这个漏洞可以获取企业的内部通信数据。漏洞利用起来非常简单,只需要几次点击就有可能访问企业的内部网络、社交媒体账号,比如Twitter以及更为常见的Yammer以及Slack协同账户。
漏洞目前仍然没被修复,因为这种漏洞很难在第一时间修复。在过去的几个月中,我联系了数十家公司以及受影响的厂商,参与这些公司及厂商的漏洞奖励计划以促使他们修复相关漏洞。由于受影响企业数量较多,我无法一一联系上。根据一些黑客小伙伴们的建议,在相关厂商的许可下,我撰写并发布了这篇文章,以便让受影响的每个单位能立即修复这个漏洞。我将这个漏洞称之为Ticket Trick。
二、拦路门:需使用企业邮箱注册
如Slack、Yammer以及Facebook Wrokpace之类的商业协同交流平台要求员工使用他们的企业(@company)邮箱来注册平台账户。员工的企业邮箱会收到一封包含确认链接的邮件,一旦员工点击这个链接,他们就可以成为公司的一份子,进行内部交流。
黑客的身份搞些破坏,Google、Facebook、Microsoft、Yahoo等都感谢过我的劳动成果。
6、还有其他成果吗?
我劫持过特朗普的推特,创办了StalkScan.com网站,这个网站可以深入挖掘Facebook的人际关系,我也喜欢在medium上分享我的研究成果。
大家可以关注我的推特了解更多信息。
本文由 安全客 翻译,作者:興趣使然的小胃