据英国媒体 BBC 报道,安全研究人员于近期访问毕马威会计师事务所(KPMG)共享的工作日志时意外发现英国协同办公软件 Huddle 存在一处安全漏洞,致使用户敏感信息在线泄露。目前,该研究人员已通过与毕马威无关的签名证书获取公司财务信息。此外,英国国家卫生服务组织 NHS、内政部和税务及海关部等超过 16 万家机构均使用了该办公软件处理企业工作。
调查显示,如果不同用户利用该漏洞在 20 毫秒内进行两次登录将会得到同一授权密码,这意味着在双因素验证过程中,第一位点击链接输入密码的人与下一位用户将被认为是同一个人并被授予管理员权限。据称,该漏洞影响了今年 3 月至 11 月期间的六位客户会话,并证实第三方供应商可能已经访问目标客户敏感信息,而官方发言人表示,“在同一时间段内 Huddle 发生过四千九百多万次登录,发生这种错误的情况是非常罕见”。
Huddle 随后发表声明,宣称公司对于此次事件的发生深表歉意,他们正与其所有合作厂商取得联系,以便妥善解决此类问题。
安全研究人员经调查发现,虽然该漏洞对于政府、金融机构以及大学在内的用户群体来说影响较小,但所有软件都可能存在漏洞,甚至那些声称为用户信息提供超级安全保护的软件。目前,Huddle 已在接到通知后及时修复补丁。不过,毕马威现并未发表任何置评。
原作者:Jason Murdock,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册