实时互动网
·
黑客曝光 Zendesk 安全漏洞,获取机密客户信息
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
15岁漏洞猎人Daniel发现Zendesk漏洞,攻击者可通过邮件欺骗访问客户信息。Zendesk因漏洞赏金政策拒绝奖励,Daniel转向其他公司。Zendesk通过过滤器解决问题,建议用户加强验证。Zendesk称漏洞未被恶意利用,并批评Daniel未负责任披露。
🎯
关键要点
- 15岁漏洞猎人Daniel发现Zendesk漏洞,攻击者可通过邮件欺骗访问客户信息。
- Daniel通过HackerOne合作,未经授权访问多个客户支持单,并在博客中详细描述了漏洞。
- Zendesk的电子邮件协作功能存在不足,容易受到电子邮件欺骗攻击。
- Daniel展示了如何利用该漏洞访问公司的私人Slack工作区,获取机密信息。
- Zendesk拒绝了Daniel的漏洞赏金申请,称该漏洞属于政策排除范围。
- Daniel从其他公司获得超过50,000美元的赏金,但未从Zendesk获得奖励。
- Zendesk已通过引入过滤器解决了该问题,并建议用户加强验证措施。
- Zendesk产品经理表示没有证据表明该漏洞被恶意利用,并批评Daniel的披露方式。
➡️
