ВИДЖЕТЫ ONLINE-ЧАТОВ РАСКРЫВАЮТ КОНФИДЕНЦИАЛЬНЫЕ ДАННЫЕ
ВИДЖЕТЫ ONLINE-ЧАТОВ РАСКРЫВАЮТ КОНФИДЕНЦИАЛЬНЫЕ ДАННЫЕ
Раскрываемая виджетами LiveChat и TouchCommerce информация может использоваться для фишинга.
Как минимум два виджета online-чатов, которые используются на сайтах крупных компаний, раскрывают данные сотрудников. В частности, уязвимые виджеты используются на сайтах, управляемых Google, Verizon, Bank of America, PayPal, Sony, Tesla, Bitdefender, «Лабораторией Касперского», Disney и пр.
Как пояснили исследователи из Project Insecurity Коди Закариас (Cody Zacharias) и Кейн Гэмбл (Kane Gamble), утечка данных происходит во время установления сеанса общения в online-чате с сотрудником команды поддержки компании. Виджет раскрывает такую информацию, как настоящее имя сотрудника и его идентификационный номер, электронный адрес компании, название центра поддержки, его местонахождение, имя начальника и его идентификационный номер, используемое сотрудником ПО и т.д.
Характер информации зависит от компании и установленных ею настроек виджета, поэтому в некоторых случаях утечка не происходит вовсе. Раскрываемая виджетом информация, такая как настоящие имена и идентификационные номера сотрудников и их начальников, может использоваться киберпреступниками для фишинга.
По словам исследователей, уязвимыми являются виджеты от LiveChat и TouchCommerce (в настоящее время принадлежит Nuance). Закариас и Гэмбл уведомили разработчиков уязвимых виджетов о проблеме, однако они так и не были исправлены, поэтому исследователи решили сообщить о них общественности.