Honderden interne servicedesks zijn publiek toegankelijk
Verschillende bedrijven, ook Belgische, gebruiken een interne ticketingdienst die bij slechte configuratie toegankelijk is voor externen. Dat maakt het makkelijk om malafide verzoeken te doen, of mailadressen van werknemers te achterhalen.
Het gaat om Jira Service Desk van Atlassian. De tool zelf is technisch in orde, maar veel bedrijven hebben ze verkeerd geconfigureerd waardoor ook externen een account kunnen aanmaken, zo waarschuwt Inti De Ceukelaire, ethisch hacker en Head of Hackers bij Intigriti.
In een uitgebreide blogpost doet hij de werking uit de doeken. Atlassian’s Jira Service Desk is een online tool waarmee bedrijven verzoeken van klanten/gebruikers kunnen verwerken. Maar ze kan ook gebruikt worden om eigen medewerkers verder te helpen met verzoeken rond HR, IT, finance, kortom alle soorten verzoeken waar een werknemer intern te rade voor moet gaan.
Geen hacking, wel foutje
Die tool is doorgaans bereikbaar ‘bedrijfsnaam.atlassian.net’ waarvoor je een login nodig hebt. Maar De Ceukelaire ontdekte dat in veel gevallen je via ‘yourcompanyname.atlassian.net/servicedesk/customer/user/login’ als buitenstaander zelf een account kan creëren en vervolgens een intern ticket kan aanmaken.
“Het is net gevaarlijk omdat het zo makkelijk is. Je hebt geen technische kennis of hackingskills nodig. Iedereen kan het proberen,” zegt De Ceukelaire aan Data News.
Dat maakt het ook lastig om het publiek te maken. Hij contacteerde zelf verschillende bedrijven, maar elk bedrijf wereldwijd contacteren is onhaalbaar. Door de praktijk publiek te documenteren hoopt hij dat bedrijven sneller acties ondernemen.
De Ceukelaire wil noch Jira Service Desk, nocht bedrijven slechte beveiliging verwijten omdat het om een makkelijk te missen fout gaat. “Veel bedrijven denken dat ze goed beschermd zijn, want dit zit ergens weggestopt in de instellingen en op het eerste zicht lijkt het niet dat een externe gebruiker kan binnendringen. Dus het is begrijpelijk dat er fouten worden gemaakt. Ik heb zelf bedrijven gezien die technisch zeer goed beveiligd zijn. Maar eens je intern zit kan je heel veel toen. Iedereen kan kwetsbaar zijn.”
Ook op lange termijn is er een risico. “Het is begrijpelijk dat sommige bedrijven in de huidige coronacrisis tools snel hebben uitgerold en daarbij niet alle documentatie hebben gelezen. Maar ik vrees dat die tools na de crisis niet worden dichtgedraaid en dan moet je je afvragen of ze wel veilig zijn.”
Ook Belgische bedrijven
De Ceukelaire testte in totaal tienduizend populaire domeinnamen en stelde vast dat 1972 Atlassian gebruiken. Daarvan waren er 288 open voor het publiek terwijl dat niet de bedoeling was. Hij merkt daarbij ook een stijging sinds het massaal thuiswerken. De eerste test gebeurde afgelopen zomer, maar momenteel zijn er 12 procent meer servicedesks toegankelijk.
Mogelijk komt dat omdat bedrijven sommige tools snel en met verkeerde configuratie online hebben gebracht. Al kan het ook zijn dat bedrijven Jira Service Desk al gebruikten als tool voor hun klantendienst, en ze nadien verder gebruikten als interne tool, zonder ze voldoende af te schermen.
Onder de 288 bedrijven zaten ook een tiental Belgische bedrijven. Al ligt het werkelijke aantal wellicht veel hoger gezien het om een grote steekproef ging.
Mailadressen, database stelen en makkelijker oplichten
Wat een kwaadwillige gebruiker kan doen met zo’n account loopt enorm uiteen. Zo kon De Ceukelaire bij een op drie nader onderzochte servicedesks de namen en mailadressen van werknemers te weten komen omdat het mogelijk is om namens andere werknemers een ticket aan te maken.
In één geval liet een servicedesk ook toe om code in te geven. Daardoor was het mogelijk om een hele database te bemachtigen. De Ceukelaire meldde dit bij het bedrijf en kreeg daarvoor zelfs een beloning van tienduizend dollar voor het verantwoordelijk melden van een datalek.
Maar de praktijk maakt ook oplichting een stuk makkelijker. Werknemers zijn vaak getraind om een phishingmail te herkennen. Maar wanneer een oplichter de naam van een echte werknemer gebruikt en bijvoorbeeld een terugbetaling, wachtwoordreset of reset van een vergrendelde account aanvraagt. Dan worden die verzoeken mogelijk sneller ingewilligd omdat ze via een intern kanaal worden aangevraagd.
“Het is niet altijd evident om als servicedeskmedewerker te zien of zo’n verzoek wel legitiem is. Soms moet je doorklikken of met de muis over de naam gaan om te achterhalen dat het verzoek van een ander mailadres komt. Zeker in een bedrijf met duizenden medewerkers, of waar je momenteel niet snel even fysiek bij die collega kan verifiëren is het lastig,” zegt De Ceukelaire.
Instellingen nakijken
De Ceukelaire werkte naar eigen zeggen de afgelopen weken met 25 bedrijven samen om hun ticketingtool af te schermen voor het publiek. Minstens één bedrijf zegt daarbij dat ze ook andere vreemde accounts hadden opgemerkt. De techniek wordt op dit moment dus toegepast door mogelijke oplichters.
Wie de tool van Jira Service Desk gebruikt kan best nagaan of het ook mogelijk is om als externe gebruiker een account aan te maken. Dat kan door via ‘https://yourcompanyname.atlassian.net/servicedesk/customer/user/login‘ (yourcompanyname vervangen door je eigen bedrijfsnaam) het uit te proberen. Als de servicedesk openbaar staat, dan moet je de instellingen van de tool aanpassen. Jira geeft daar zelf ook bijkomende documentatie rond.
Fout opgemerkt of meer nieuws? Meld het hier