Уязвимость на платформе раскрывала хэши паролей клиентов.
Slack сбросил пароли своих клиентов , уведомив об этом всего 0,5% пользователей, после исправления ошибки, раскрывающей « соленые » хэши паролей при создании или отмене общих ссылок-приглашений для рабочих пространств.
«Когда пользователь создавал или отменял приглашения, Slack передавал хешированную версию пароля пользователя (не открытый текст) другим членам рабочей области. Хотя эти данные были переданы через новую или деактивированную ссылку приглашения, клиент Slack не сохранил и не отобразил эти данные для участников этой рабочей области», — заявили в Slack.
Ошибка была обнаружена независимым исследователем безопасности, который сообщил о ней Slack 17 июля. Проблема коснулась всех пользователей, которые создали или отменили общие ссылки-приглашения в период с 17 апреля 2017 года по 17 июля 2022 года.
По словам Slack , хешированные пароли не были видны клиентам Slack, и для доступа к раскрытой информации требовался активный мониторинг зашифрованного сетевого трафика с серверов Slack. Slack также отрицает то, что ошибка использовалась для получения доступа к незашифрованным паролям.
В целях предосторожности Slack сбросила пароли затронутых пользователей. Клиентам нужно установить новый пароль, прежде чем они смогут снова войти в систему. «Хешированные пароли безопасны, но они все еще могут быть изменены с помощью брутфорса, поэтому мы решили сбросить пароли всех уязвимых пользователей», — предупредила Slack.
Чтобы убедиться, что ваша учетная запись не была скомпрометирована, вы можете просмотреть журналы личного доступа . Slack также советует всем пользователям внедрить двухфакторную аутентификацию и создать уникальные пароли, которые не используются в других сервисах.
Спойлер: мы раскрываем их любимые трюки