Контакты
Подписка
МЕНЮ
Контакты
Подписка

Виджеты online-чатов раскрывают конфиденциальные данные

Виджеты online-чатов раскрывают конфиденциальные данные

Виджеты online-чатов раскрывают конфиденциальные данные


04.04.2018



Как минимум два виджета online-чатов, которые используются на сайтах крупных компаний, раскрывают данные сотрудников. В частности, уязвимые виджеты используются на сайтах, управляемых Google, Verizon, Bank of America, PayPal, Sony, Tesla, Bitdefender, "Лабораторией Касперского", Disney и пр.

 Как пояснили исследователи из Project Insecurity Коди Закариас (Cody Zacharias) и Кейн Гэмбл (Kane Gamble), утечка данных происходит во время установления сеанса общения в online-чате с сотрудником команды поддержки компании. Виджет раскрывает такую информацию, как настоящее имя сотрудника и его идентификационный номер, электронный адрес компании, название центра поддержки, его местонахождение, имя начальника и его идентификационный номер, используемое сотрудником ПО и т.д.

Характер информации зависит от компании и установленных ею настроек виджета, поэтому в некоторых случаях утечка не происходит вовсе. Раскрываемая виджетом информация, такая как настоящие имена и идентификационные номера сотрудников и их начальников, может использоваться киберпреступниками для фишинга.

 По словам исследователей, уязвимыми являются виджеты от LiveChat и TouchCommerce (в настоящее время принадлежит Nuance). Закариас и Гэмбл уведомили разработчиков уязвимых виджетов о проблеме, однако они так и не были исправлены, поэтому исследователи решили сообщить о них общественности.

 

Securitylab