Ticket-Trick: acceder a cientos de empresas vía Slack con un simple truco

Conoces alguna empresa que use Slack, Yammer o Facebook Workplace para gestionar las comunicaciones de sus empleados? ¿Y alguna empresa que además de las anteriores tenga un sistema de soporte técnico basado en tickets, ya sea propio o gestionado por Zendesk, Kayako, Freshdesk o WHMCS? Pues ya tienes todo lo que necesitas para hackear esa empresa.

Inti De Ceukelaire es un investigador de seguridad belga que encontró una forma muy sencilla de acceder a las comunicaciones internas de cientos de empresas a través de su servicio técnico y con un ataque al que denomino Ticket-Trick. No se trata de engañar a los informáticos de la compañía, sino más bien a su sistema de tickets. Solo hace falta adivinar una dirección de correo electrónico para acceder a esa empresa y, potencialmente, a su intratet y sus cuentas de redes sociales.

La mayoría de las empresas configura sus espacios de Slack, Yammer y Facebook Workplace para que solo puedan acceder a ellos personas invitadas por un administrador o que, en su defecto, usen una dirección de correo electrónico con el dominio de la empresa. Este era el caso de Vimeo.

De Ceukelaire sabía que Vimeo usaba Slack para sus comunicaciones internas y que, al mismo tiempo, tenía un sistema de tickets en su web para dar soporte técnico. También sabía que, si intentaba registrarse en el Slack de Vimeo, este le enviaría un enlace a través de [email protected] para que verificara su dirección de correo. Por otro lado, De Ceukelaire sospechaba que todos los correos enviados a [email protected] acababan creando un ticket en el sistema de soporte técnico de la propia Vimeo.

¿Veis por dónde va la cosa, verdad? De Ceukelaire creó una cuenta de Vimeo con el correo [email protected] y luego se registró en Slack con la dirección [email protected]. Entonces Slack le mandó un enlace para que confirmara su dirección y este creó un ticket en Vimeo vinculado a su nueva cuenta. Así fue como Inti De Ceukelaire obtuvo acceso al Slack de Vimeo.

El truco, explica el joven hacker en su blog, no solo funcionó con Slack sino también con plataformas como Yammer. Del lado del soporte técnico, engañó además a los sistemas de Kayako y Zendesk, que no lo obligaron a confirmar su dirección. Para colmo, el truco le permitió hackear las cuentas de Twitter de empresas que usaban [email protected] para restablecer la contraseña. En algunos casos, incluso, le bastó con registrar [email protected] para interceptar el token de restablecimiento de contraseña de [email protected] y obtener acceso a todos los tickets.

De Ceukelaire informó a las empresas implicadas de sus hallazgos y recibió al menos $16.o00 en recompensas. Gracias a su buen hacer, Slack decidió añadir una variable a su dirección no-reply. Otra solución, más sencilla, sería bloquear el acceso a Slack a los usuarios del dominio y usar en su lugar un sistema de invitaciones autorizadas por un administrador.

Fuente: Inti De Ceukelaire | The Next Web