Spiceworks est un réseau professionnel de l'informatique qui offre des professionnels de l'informatique la possibilité de collaborer et de s'entraider en matière de services liés à technologie et produits. D'après les recherches, le réseau est utilisé par plus de 6 millions de spécialistes en informatique et 3 mille fournisseurs de technologie.
En raison de sa popularité dans le domaine informatique, une application Spiceworks a causé tout à fait la controverse.
L'application comprend une vulnérabilité grave qui semble être un important problème de sécurité. L'application crée automatiquement un compte administrateur et permet aux utilisateurs qui se connectent via Facebook ou LinkedIn des informations d'identification pour accéder au système.
L'équipe de Spiceworks a testé l'impact
La vulnérabilité a été découverte par Darren K. Forgeron, Spiceworks membre de la communauté. Il est la dernière version (7.4.00065) de l'application qui comprend ce. Une fois authentifié sur la page de connexion pour les administrateurs il pourrait être exploité.
Un correctif est prévu pour cette semaine dans la mesure où l'ingénieur de vérification à Spiceworks, Joseph Griffin informe que l'impact du problème est testé, et la conclusion est inconditionnelle. La question de la sécurité doit être fixé le plus tôt possible.
→« Je voulais simplement essayer d'identifier la portée de la question par rapport aux pirates pouvoir accéder à vos informations, pas la gravité de la question elle-même,» Griffin a expliqué dans un billet de blog.
Utilisateurs’ Attitude
Les utilisateurs craignent que quiconque dans l'entreprise, qui a des motifs malveillants, pourrait utiliser les informations d'identification pour vous connecter via Facebook ou LinkedIn pour obtenir l'accès administrateur et l'utilisation abusive des informations du système.
En réponse, équipe Spiceworks conseille aux utilisateurs de désactiver complètement l'authentification dans le domaine social dans l'application. Ils pourraient reprendre le processus quand une version mise à jour de l'application est disponible car il contiendra un correctif pour cette vulnérabilité.