Se ha descubierto una falla en la herramienta de colaboración Huddle que se cree que dejó documentos de empresas privadas que podían ser vistos por personas no autorizadas.

¿Qué es Huddle?

Huddle es un sistema de software "seguro" basado en la nube para el trabajo colaborativo, el intercambio de archivos y la gestión de proyectos. Se puede acceder a través de aplicaciones móviles y de escritorio, y se puede integrar con herramientas empresariales como Microsoft Office, Google Apps for Work, SharePoint y Salesforce.com.

Utilizado por agencias gubernamentales

Lo que hace que este reciente descubrimiento sea más preocupante y vergonzoso es el hecho de que Huddle afirma públicamente que más del 80 % de las agencias del gobierno central del Reino Unido usan el sistema Huddle y que tiene salvaguardas administrativas, técnicas y físicas y, sin embargo, una simple falla de inicio de sesión parece haber expuesto clientes a riesgos de seguridad potencialmente graves.

¿Que pasó?

Se informa que la falla de seguridad fue descubierta por un periodista que intentó iniciar sesión y acceder a un diario compartido para su equipo, pero en su lugar inició sesión en una cuenta de KPMG y pudo ver un directorio de documentos privados y facturas, y libro de direcciones.

Huddle también descubrió más tarde que una persona no autorizada (desconocida) había accedido al programa Huddle de BBC Children's Hetty Feather, pero no había abierto ninguno de los documentos privados.

¿Por qué?

La explicación del problema informada por Huddle es que debido a que dos usuarios llegaron al servidor de inicio de sesión con una diferencia de 20 milisegundos entre sí, ambos recibieron el mismo código de autorización. Luego, este código duplicado se llevó al proceso del token de seguridad, y quien fuera más rápido en solicitar el token de seguridad inició sesión en el sistema y, por lo tanto, pudo ver los archivos de otra empresa.

Rare

Una declaración de Huddle pareció restar importancia a la gravedad del descubrimiento al señalar que el error solo afectó a seis sesiones de los 4.96 millones de inicios de sesión entre marzo y noviembre.

ahora arreglado

Los usuarios de Huddle se sentirán aliviados al saber que Huddle ahora solucionó el error asegurándose de que se genera un nuevo código de autorización cada vez que se invoca el sistema.

¿Qué significa esto para tu negocio?

El punto importante que las empresas deben sacar de esta historia es que incluso los sistemas de terceros confiables, populares y líderes en el mercado probablemente tengan algunos errores no descubiertos: ningún sistema es perfecto y las posibilidades de que se descubran y exploten son muy pequeñas. . También es bueno (y afortunado) que una persona responsable (el periodista) descubriera y reportara el error, por lo que ahora se ha solucionado.

Los críticos, sin embargo, han resaltado el hecho de que es sorprendente y preocupante que un líder mundial en colaboración de contenido seguro que se supone que ofrece un servicio de clase mundial y publicita cómo se confía en su sistema con información gubernamental confidencial, pueda tener su sistema tan fácilmente. comprometida, sin la necesidad de ningún tipo de piratería o actividad ilegal.

Para las empresas cuyos detalles han sido accedidos, es poco probable que sea la rareza de un evento de este tipo lo que les preocupe, sino más bien el hecho de que confiaron en un tercero con la seguridad de su empresa y, como resultado, sufrieron una infracción potencialmente dañina. También es probable que dañe la confianza en el servicio Huddle, plantee preguntas sobre qué tan raro es realmente un evento de este tipo y tiente a algunas empresas a cambiar de proveedor, o tal vez a usar el sistema para proyectos menos sensibles.