实时互动网
·
黑客曝光 Zendesk 安全漏洞,获取机密客户信息
内容提要
15岁漏洞猎人Daniel发现Zendesk漏洞,攻击者可通过邮件欺骗访问客户信息。Zendesk因漏洞赏金政策拒绝奖励,Daniel转向其他公司。Zendesk通过过滤器解决问题,建议用户加强验证。Zendesk称漏洞未被恶意利用,并批评Daniel未负责任披露。
关键要点
-
15岁漏洞猎人Daniel发现Zendesk漏洞,攻击者可通过邮件欺骗访问客户信息。
-
Daniel通过HackerOne合作,未经授权访问多个客户支持单,并在博客中详细描述了漏洞。
-
Zendesk的电子邮件协作功能存在不足,容易受到电子邮件欺骗攻击。
-
Daniel展示了如何利用该漏洞访问公司的私人Slack工作区,获取机密信息。
-
Zendesk拒绝了Daniel的漏洞赏金申请,称该漏洞属于政策排除范围。
-
Daniel从其他公司获得超过50,000美元的赏金,但未从Zendesk获得奖励。
-
Zendesk已通过引入过滤器解决了该问题,并建议用户加强验证措施。
-
Zendesk产品经理表示没有证据表明该漏洞被恶意利用,并批评Daniel的披露方式。
延伸问答
Zendesk的安全漏洞是如何被发现的?
15岁漏洞猎人Daniel通过HackerOne发现了Zendesk的安全漏洞,攻击者可以通过邮件欺骗访问客户信息。
Zendesk对Daniel的漏洞报告做出了什么回应?
Zendesk拒绝了Daniel的漏洞赏金申请,称该漏洞属于政策排除范围,并批评了Daniel的披露方式。
Daniel是如何利用Zendesk漏洞获取机密信息的?
Daniel展示了如何通过欺骗邮件访问Zendesk支持票据,并利用该漏洞进入公司的私人Slack工作区。
Zendesk采取了哪些措施来修复这个漏洞?
Zendesk引入了过滤器来自动阻止某些类型的电子邮件,并建议用户加强验证措施。
Daniel从其他公司获得了多少赏金?
Daniel从其他公司获得了超过50,000美元的赏金,但未从Zendesk获得奖励。
Zendesk的产品经理对漏洞的看法是什么?
Zendesk的产品经理表示没有证据表明该漏洞被恶意利用,并批评Daniel的披露方式。
