Huddle存在安全漏洞,或致毕马威会计师事务所等机构敏感信息泄露

2017年11月15日 09:24 493

据英国媒体 BBC 报道,安全研究人员于近期访问毕马威会计师事务所(KPMG)共享的工作日志时意外发现英国协同办公软件 Huddle 存在一处安全漏洞,致使用户敏感信息在线泄露。目前,该研究人员已通过与毕马威无关的签名证书获取公司财务信息。此外,英国国家卫生服务组织 NHS、内政部和税务及海关部等超过 16 万家机构均使用了该办公软件处理企业工作。


调查显示,如果不同用户利用该漏洞在 20 毫秒内进行两次登录将会得到同一授权密码,这意味着在双因素验证过程中,第一位点击链接输入密码的人与下一位用户将被认为是同一个人并被授予管理员权限。据称,该漏洞影响了今年 3 月至 11 月期间的六位客户会话,并证实第三方供应商可能已经访问目标客户敏感信息,而官方发言人表示,“在同一时间段内 Huddle 发生过四千九百多万次登录,发生这种错误的情况是非常罕见”。

Huddle 随后发表声明,宣称公司对于此次事件的发生深表歉意,他们正与其所有合作厂商取得联系,以便妥善解决此类问题。

安全研究人员经调查发现,虽然该漏洞对于政府、金融机构以及大学在内的用户群体来说影响较小,但所有软件都可能存在漏洞,甚至那些声称为用户信息提供超级安全保护的软件。目前,Huddle 已在接到通知后及时修复补丁。不过,毕马威现并未发表任何置评。


转自 HackerNews.cc,原文地址:http://hackernews.cc/archives/16849


阿里聚安全

阿里聚安全(http://jaq.alibaba.com)由阿里巴巴安全部出品,面向企业和开发者提供互联网业务安全解决方案,全面覆盖移动安全、数据风控、内容安全、实人认证等维度,并在业界率先提出“以业务为中心的安全”,赋能生态,与行业共享阿里巴巴集团多年沉淀的专业安全能力。

标签

  • 短信
  • 积分兑换
  • 仿冒应用
  • 漏洞分析
  • 漏洞预警
  • 年度报告
  • 安全报告
  • 病毒分析
  • 阿里聚安全
应用更安全,用户更放心! 立即登录