¿Hay problemas de seguridad al confiar en un dominio de correo electrónico para asignar permisos automáticamente?

Navega tus respuestas
1

Estoy trabajando en un nuevo sistema de clientes, y asignan automáticamente permisos basados en el nombre de dominio para la dirección de correo electrónico en la que se creó la cuenta (requieren validación a través de un correo electrónico).

Comprueban que el correo electrónico termina con @somedomain.tld . Para grandes corporaciones bancarias. Si tiene el nombre de dominio adecuado, tendrá acceso completo a historiales de empleo, historiales de direcciones, números de seguro social, etc. para un millón de personas. Estos son dominios de terceros (que se utilizan para las direcciones de correo electrónico), no están bajo el control del cliente mencionado anteriormente que opera este sistema. Y son las direcciones de correo electrónico de la empresa de quien posee esos dominios. Hay ~ 500 dominios cuyas direcciones de correo electrónico tienen acceso de esta manera.

¿Hay problemas de seguridad con esto? ¿Existen vulnerabilidades que se hayan utilizado para solucionar este tipo de sistemas?

Mi objetivo es hacer un poco de diligencia debida, ya que a primera vista parece una forma frágil de autorizar el acceso a dicha información. Pero no tengo el conocimiento para decir si es o no es. También me gustaría saber, fuera del alcance del escenario anterior, si existen inconvenientes y problemas con este tipo de configuración, independientemente del tipo de rol o riesgo.

    
pregunta Douglas Gaskell 02.11.2018 - 20:56
fuente

2 respuestas

2

Mi comprensión de su pregunta es que desea utilizar la parte del dominio del correo electrónico de los usuarios para identificar la compañía del usuario y luego configurar los permisos de acceso según la compañía detectada. Pero no solo utiliza un solo correo electrónico para esto, sino que lo asocia con una cuenta de usuario (es decir, protección adicional con contraseña o similar) y el usuario tiene que demostrar que tiene acceso a la cuenta de correo reclamada al configurar el cuenta de usuario enviando algún tipo de enlace de confirmación a la dirección de correo dada.

Para tener este tipo de asociación entre un usuario / empresa y una dirección de correo, debe garantizar que nadie fuera de la empresa puede enviar y recibir correos electrónicos utilizando una dirección de correo electrónico específica de la empresa. Dado que a menudo se puede acceder a los correos específicos de la empresa desde fuera de la red de la empresa (trabajadores móviles) y que el phishing para obtener credenciales, incluidas las credenciales de correo, se realiza en gran medida hoy en día, se debe asumir que alguien que no sea de la compañía puede obtener acceso a una cuenta de correo de la empresa.

Además, la verificación inicial del correo al configurar la cuenta de usuario no ayuda si el usuario abandona la empresa, ya que no existe ningún procedimiento para desactivar automáticamente la cuenta de usuario. Mientras que uno puede verificar de vez en cuando si el usuario todavía tiene acceso a la cuenta de correo, el proceso de desactivación del acceso para ex empleados a menudo se interrumpe, es decir, el usuario todavía podría tener acceso a su correo de empresas anteriores, aunque no trabaje más. la empresa.

    
respondido por el Steffen Ullrich 03.11.2018 - 05:53
fuente
1

Hace un tiempo, hubo un incidente en Slack, donde los equipos que aceptaron la validación de la cuenta basada en el dominio para unirse al equipo fueron violados a través de una explotación de sus sistemas de tickets de la mesa de ayuda, rastreadores de problemas, etc.

enlace

    
respondido por el nbering 03.11.2018 - 01:30
fuente

Lea otras preguntas en las etiquetas

ataque de repetición de solicitud de ARP: ¿por qué los AP funcionan de la forma en que lo hacen? ¿PGP encripta todos los mensajes o solo ese envía con PGP?