[ad_1]

BreachTrace a passé une bonne partie de la semaine dernière à travailler avec Cisco pour alerter plus de quatre douzaines d’entreprises – dont beaucoup sont des noms connus – sur les entreprises régulières Webex réunions de conférence dépourvues de mots de passe et donc ouvertes à tous ceux qui souhaitent écouter.

Réunions WebEx du ministère de l'Énergie.

Réunions WebEx du ministère de l’Énergie.

Il s’agit de réunions récurrentes basées sur des vidéoconférences et des audioconférences que les entreprises mettent à la disposition de leurs employés via WebEx, un ensemble d’outils de conférence en ligne gérés par Cisco. Ces services permettent aux clients de protéger les réunions par mot de passe, mais il était trivial de trouver des dizaines de grandes entreprises qui ne suivent pas cette meilleure pratique de base et permettent à pratiquement n’importe qui de participer à des réunions quotidiennes sur des discussions apparemment internes et des sessions de planification.

La plupart des réunions qui peuvent être trouvées par une recherche rapide dans la liste « Centre d’événements » d’une organisation sur Webex.com semblent être destinées au public, telles que des démonstrations de produits et des présentations pour des clients potentiels. Cependant, à partir de là, il est souvent facile de découvrir une foule d’autres réunions WebEx plus propriétaires en cliquant simplement sur les réunions quotidiennes et hebdomadaires répertoriées dans la section « Centre de réunion » de chaque organisation sur le site Webex.com.

Certaines des réunions récurrentes les plus intéressantes et non protégées par mot de passe que j’ai trouvées incluent celles de Charles Schwab, SCC, SCS, SVC, Le département américain de l’énergie, Fannie Mae, Jour Jones, Orbite, Services Paychexet Union Pacifique. Certaines entités ont même également autorisé l’accès aux enregistrements d’événements archivés.

Cisco a commencé à contacter chacune de ces entreprises il y a environ une semaine et a publié aujourd’hui une alerte destinée à tous les clients (PDF) indiquant aux clients un document consolidé sur les meilleures pratiques écrit pour les administrateurs et les utilisateurs du site Cisco WebEx.

« Au cours de la première semaine d’octobre, nous avons été contactés par un chercheur en sécurité de premier plan », a écrit Cisco. « Il nous a montré que certains sites de clients WebEx affichaient publiquement des informations sur les réunions en ligne, notamment l’heure, le sujet, l’hôte et la durée de la réunion. Certains sites incluaient également un lien « rejoindre la réunion ».

Omar Santos, responsable principal des incidents de l’équipe de réponse aux incidents de sécurité des produits de Cisco, a reconnu que la documentation client de l’entreprise pour la sécurisation des réunions WebEx était auparavant quelque peu dispersée sur plusieurs propriétés en ligne différentes de Cisco. Mais Santos a déclaré que le paramètre par défaut pour ses réunions WebEx a toujours été qu’un mot de passe soit inclus dans une réunion lors de sa création.

« S’il y a une réunion que vous pouvez trouver en ligne sans mot de passe, cela signifie que l’administrateur du site ou le créateur de la réunion a choisi de ne pas inclure de mot de passe », a déclaré Santos. « Ce n’est que si l’administrateur du site a choisi de n’autoriser aucun mot de passe que l’organisateur de la réunion peut choisir la possibilité de n’avoir aucun mot de passe pour cette réunion. »

Mise à jour, 11 h 24 HE : Cisco a également publié un article de blog à ce sujet, disponible ici.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *