Исследователи из Project Insecurity Коди Захариас (Cody Zacharias) и Кейн Гэмбл (Kane Gamble) заявили, что минимум два виджета онлайн-поддержки производства LiveChat и TouchCommerce являются небезопасными. Уязвимые программы установлены на сотнях топовых сайтов, включая Google, PayPal, Sony, Tesla, Bitdefender, Disney и многие другие.

При общении с технической поддержкой через виджет злоумышленник может получить доступ к конфиденциальным сведениям об операторе: узнать имя и фамилию сотрудника, его служебный идентификатор, адрес корпоративной электронной почты, местоположение, информацию о руководителе, используемое программное обеспечение и пр. Точный перечень подверженной утечке информации зависит от настроек приложения на конкретном сайте.

Эксперты кибербезопасности предупредили, что при помощи украденных данных злоумышленник может проникнуть в инфраструктуру компании, выдавая себя за ее сотрудника. Располагая служебным идентификатором и другими личными сведениями, хакер способен не только получить доступ к внутренним инструментам, но и закрепиться в локальной сети.

Уязвимость может затронуть и другие виджеты онлайн-поддержки. Специалисты Project Insecurity протестировали еще одно приложение, LivePerson. Захариас и Гэмбл не смогли воспроизвести утечку данных на трех проверенных сайтах, однако однозначно утверждать, что сервис безопасный, нельзя.

Исследователи уведомили разработчиков виджетов об обнаруженной уязвимости. Авторы LiveChat уже пообещали в скором времени выпустить заплатку, о патчах от TouchCommerce информации нет. Компания Project Insecurity между тем опубликовала свои рекомендации по безопасности.

Это далеко не первая уязвимость, выявленная в сервисах онлайн-поддержки. Так, в ноябре прошлого года, прямо перед «черной пятницей», эксперт по кибербезопасности Трой Марш (Troy Mursh) обнаружил в виджете LiveHelpNow майнер Coinhive. Онлайн-консультант использовался почти на 1500 сайтах, в основном в интернет-магазинах с миллионами посетителей.

Категории: Уязвимости