22:21
24/4/2014

* Yammer zhackowany

Jak pisze nasz czytelnik Andrzej:

Yammer, to taki Facebook dla firm enterprise, kupiony przez Microsoft w 2012. Obecnie jest dostępny m.in. w pakiecie dla osób wykupujących Office 365 w niektórych planach usług. Konta użytkowników domenowych wraz z określonymi atrybutami jak imię, nazwisko itp. mogą być synchronizowane z domeny Active Directory do Yammera. Do tego można dołożyć SSO federując Yammer z dowolnym IdP, np. Microsoftowym ADFS, tak aby użytkownicy uwierzytelniali się za pomocą swoich poświadczeń korporacyjnych.

W tym miejscu, przy moich testach okazało się, że można w nieautoryzowany sposób, znając wyłącznie e-mail ofiary oraz bez względu w jaki sposób założyła sobie ona konto na Yammer (czy to ręcznie jako prywatne konto, czy przez synchronizację swojego konta z Active Directory, czy wykorzystując provisiong konta przy SSO), bez znajomości jej hasła do Yammera, można zmienić jej: imię, nazwisko, opis , numer telefonu. W ślad za tą zmianą, cała aktywność tej osoby – wszystkie posty, polubienia, etc, będą wyświetlone jako imię i nazwisko wymyślone przez atakującego. Wyobrażacie sobie dowolną zmianę danych konta Billa Gatesa? Ja też nie.

Problem odkryłem 01.03.2014, 02.03.2014 zgłosiłem do Microsoft, wczoraj dostałem odpowiedź o naprawieniu problemu, co też osobiście potwierdziłem. Opis w wersji ENG, wraz z filmikiem PoC zamieściłem na blogu

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

6 komentarzy

Dodaj komentarz
  1. props

  2. Dlaczego cytujecie tekst a nie wstawiacie zrzutu ekranu? Skopiowany tekst jest mniej wiarygodny, bo na zrzutach ekranu to na 100% prawdziwy! A do tego latwiej odczytac…

    • Cytujemy list, ktory przyszedl do redakcji.

    • @b373lgeuse
      1. Indeksowanie w google
      2. Nie ma “pikselozy” przy powiększeniu
      3. Czytniki ekranowe
      4. Screenshot też można spreparować

      Droga Redakcjo, popieram cytowanie zamiast zrzutów ekranu!

    • Szczerze mówiąć, nawet nie wiem z czego miałby być zrzut ekranu…

    • zrzut skanu listu

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: