De interne communicatie van honderden bedrijven ligt blijkbaar al jaren virtueel op straat, soms tot hun social media accounts toe. De achilleshiel blijkt, ironisch genoeg, de helpdesk. De Belgische hacker Inti De Ceukelaire geraakte met de hulp van de helpdesk via een nooit opgemerkt lek binnen bij kwetsbare firma's.

De Ceukelaire verschafte zich toegang tot mogelijk gevoelige interne informatie via, onder andere, het populaire zakelijke chatprogramma Slack. De hacker maakte gebruik van wat hij "een logische fout in de helpdeskprocedure" noemt, een fout die telkens terugkomt bij heel wat bedrijven die met Slack werken. Stel dat je op je eerste werkdag moet opgenomen worden in de Slack-groepschat van je nieuwe werkgever. Dat kan met een geldig e-mailadres dat een goedgekeurde domeinnaam - meestal ook de naam van het bedrijf zelf - bevat. Als je weet hoe je aan zo'n (virtueel) e-mailadres van de bewuste firma geraakt, ben je dus binnen. En De Ceukelaire vogelde uit hoe dat kon. Een koud kunstje, zo bleek. Niet de schuld van Slack De hacker uit Aalst testte het uit met ontwikkelaarsplatform Gitlab, waar hij als gebruiker een helpdeskticket aanmaakte. Het gebruikersportaal van Gitlab wees hem een uniek virtueel e-mailadres toe, waarmee hij de conversatie met de helpdesk kon verderzetten. Dat adres had de extensie met de naam van het bedrijf, in dit geval @gitlab.com. Daarmee kon De Ceukelaire zich dus registreren op de Slackkanalen van Gitlab. Omdat hij een zogenaamd 'ethische' hacker is, stapte De Ceukelaire er ook meteen weer uit en meldde hij netjes aan Gitlab dat ze met een gevaarlijk lek zaten. Zij switchten meteen naar de optie, die Slack ook aanbiedt, om enkel uitgenodigde gebruikers toe te laten. Hoewel Slack in dezen slachtoffer is van zijn populariteit en niet van een gebrekkige beveiliging, heeft het de verificatieprocedure toch zelf aangepast. Dezelfde modus operandi is overigens ook mogelijk met, onder vele andere, Yammer, dat niet op dezelfde constructieve manier als Slack reageerde op de bevindingen van de Belgische hacker.

De Ceukelaire kaart in dezelfde blog ook het gebrek aan gebruikersverificatie aan. Webdiensten controleren nauwelijks of een e-mailadres wel bij de bewuste persoon hoort. Wie zich ergens voor inschrijft, krijgt vaak gewoon een mail met een link om het opgegeven e-mailadres te bevestigen. Maar dat kan heel gevaarlijk zijn, schrijft de hacker, omdat iedereen "zich kan inschrijven met om het even welk e-mailadres en daarmee alle helpdesktickets van dat adres kan lezen".



Vimeo

Voorbeeld. Bij het aanmaken van zijn Slack-account, kreeg De Ceukelaire antwoord van feedback@slack.com. Met dat e-mailadres registreerde hij een gebruikersaccount bij videosite Vimeo. Daarbij werd het gebruikte e-mailadres niet gecontroleerd. Daarna logde hij in op het Slackteam van Vimeo met het adres support@vimeo.com. Slack stuurt in zo'n geval een antwoord naar dat e-mailadres. Maar omdat het om de helpdesk gaat, maakt Vimeo er automatisch een helpdeskticket van, gekoppeld aan de afzender van de mail, in dit geval dus feedback@slack.com. Daarmee had De Ceukelaire zich net geregistreerd en zo kon hij het ticket inkijken.



Ethische hacker

De Ceukelaire kon, enkele maanden geleden al, meer dan honderd bedrijven hacken, die hij op de hoogte bracht. Omdat het onbegonnen werk is iedereen te contacteren, schreef hij een verduidelijkende blogpost. De Ceukelaire vond dit ethisch het meest verantwoord. Hij had zich ook rijk kunnen hacken, want voor zijn meestal erg gewaardeerde diensten kreeg hij al premies tot 8.000 dollar. Met de publicatie van zijn waarschuwingsartikel wachtte hij tot een aantal bedrijven de fout had verholpen. Verificatiemails kunnen al veel oplossen en vooral ook het wijzigen van de extensie in de automatische e-mailadressen van de helpdesk. Naar, bijvoorbeeld, @gitlab-issues.com.