Ci sono dei problemi di sicurezza nel fare affidamento su un dominio di posta elettronica per assegnare automaticamente le autorizzazioni?

1

Sto lavorando in un nuovo sistema client e assegnano automaticamente le autorizzazioni in base al nome del dominio per l'indirizzo email in cui è stato creato l'account (richiedono la convalida tramite e-mail).

Controllano che l'e-mail termini con @somedomain.tld . Per grandi società bancarie. Se disponi del nome di dominio appropriato, avrai pieno accesso a storie di lavoro, cronologie degli indirizzi, SSN ecc. Per un milione di persone. Si tratta di domini di terze parti (che vengono utilizzati per gli indirizzi e-mail), non hanno alcun controllo sul suddetto client che gestisce questo sistema. E sono gli indirizzi email dell'azienda di chi possiede quei domini. Ci sono ~ 500 domini i cui indirizzi email hanno accesso in questo modo.

Ci sono dei problemi di sicurezza con questo? Esistono exploit che sono stati utilizzati per aggirare tali sistemi?

Il mio obiettivo è fare un po 'di diligenza poiché a prima vista sembra un modo fragile di autorizzare l'accesso a tali informazioni. Ma non ho la consapevolezza di dire se lo è o non lo è. Vorrei anche sapere, al di fuori dello scopo dello scenario sopra, se ci sono problemi e problemi con questo tipo di installazione, indipendentemente dal tipo di ruolo o rischio.

    
posta Douglas Gaskell 02.11.2018 - 20:56
fonte

2 risposte

2

La mia comprensione della domanda è che si desidera utilizzare la parte del dominio dell'email degli utenti per identificare la società dell'utente e quindi impostare le autorizzazioni di accesso in base a questa società rilevata. Ma non si usa una sola e-mail per questo - invece si associa l'e-mail con un account utente (ad esempio protezione aggiuntiva con password o simili) e l'utente deve dimostrare di avere accesso all'account di posta richiesto durante la configurazione del account utente inviando un qualche tipo di link di conferma all'indirizzo di posta indicato.

Per avere questo tipo di associazione tra un utente / azienda e un indirizzo e-mail, è necessario garantire che nessuno al di fuori dell'azienda possa inviare e ricevere posta utilizzando un indirizzo e-mail specifico dell'azienda. Dato che spesso è possibile accedere a messaggi aziendali specifici al di fuori della rete aziendale (lavoratori mobili) e che il phishing per le credenziali, comprese le credenziali di posta, è pesantemente fatto oggi, si deve presumere che qualcuno all'esterno dell'azienda possa accedere a un account di posta aziendale.

Inoltre, la verifica iniziale della posta quando si imposta l'account utente non aiuta se l'utente lascia la società poiché non esiste alcuna procedura per disabilitare automaticamente l'account utente. Mentre è possibile verificare di volta in volta se l'utente ha ancora accesso all'account di posta elettronica, il processo di disattivazione dell'accesso per ex dipendenti è spesso interrotto, ovvero l'utente potrebbe comunque avere accesso alla posta della sua vecchia società anche se non lavora più a lungo la compagnia.

    
risposta data 03.11.2018 - 05:53
fonte
1

C'è stato un incidente qualche tempo fa su Slack, dove i team che hanno accettato la convalida dell'account basata su dominio per entrare nel team sono stati violati tramite un exploit dei loro sistemi di ticket dell'help desk, tracker di problemi, ecc.

link

    
risposta data 03.11.2018 - 01:30
fonte

Leggi altre domande sui tag