研究人員警告：LiveChat與TouchCommerce等線上客服工具含有員工資訊外洩漏洞

兩名安全研究人員Cody Zacharias及Kane Gamble近日指出，包括LiveChat、TouchCommerce與LivePerson等線上客服工具都含有可洩露員工資訊的安全漏洞，可能危及使用這些工具的企業組織，涵蓋Sprint、AT&T、Google與美國銀行（Bank of America）等。

根據研究人員的說法，這些客服工具都具備同樣的漏洞，當客戶與客服聊天時，在回應POST請求時就會洩露詳細的客服人員資訊，包括客服人員的全名、員工編號、位置、電子郵件，或是主管的姓名/員工編號與客服中心的名稱，只要利用瀏覽器的網路工具或Burp Suite就能截獲相關資料。

Zacharias與Gamble針對LiveChat及TouchCommerce展示了兩個概念性驗證攻擊，其中一個是針對Google Fiber團隊所使用的LiveChat，另一個則是Verizon所使用的TouchCommerce，皆成功取得了Google Fiber與Verizon的員工資料。

儘管該漏洞所外洩的並非屬於非常機密的資訊，但研究人員認為這些訊息已足以讓駭客偽裝成這些企業員工，展開社交工程攻擊，進而滲透企業網路。

該漏洞與客服工具的配置及設定有關，因此並非所有使用上述工具的企業都會受到影響，然而，光是LiveChat就宣稱自己在全球擁有2.4萬家企業客戶。相關業者並未回應亦尚未修補此一漏洞。