Un error de Slack expuso las contraseñas hash de algunos usuarios durante 5 años

La comunicación de la oficina plataforma Slack es conocida por ser fácil e intuitiva de usar. pero la empresa dijo el viernes que una de sus funciones de baja fricción contenía una vulnerabilidad, ahora corregida, que exponía versiones codificadas criptográficamente de las contraseñas de algunos usuarios.

Cuando los usuarios creaban o revocaban un enlace, conocido como «enlace de invitación compartido», que otros podían usar para registrarse en un espacio de trabajo de Slack determinado, el comando también transmitía sin darse cuenta la contraseña cifrada del creador del enlace a otros miembros de ese espacio de trabajo. . La falla afectó la contraseña de cualquier persona que creó o eliminó un enlace de invitación compartido durante un período de cinco años, entre el 17 de abril de 2017 y el 17 de julio de 2022.

holgura, que es ahora propiedad por Salesforce, dice que un investigador de seguridad reveló el error a la empresa el 17 de julio de 2022. Las contraseñas erróneas no estaban visibles en ningún lugar de Slack, señala la empresa, y solo podrían haber sido detenidas por alguien que monitoreaba activamente el tráfico de red encriptado relevante de Slack. servidores. Aunque la compañía dice que es poco probable que el contenido real de las contraseñas se haya visto comprometido como resultado de la falla, notificó a los usuarios afectados el jueves y forzó el restablecimiento de contraseñas para todos ellos.

Slack dijo que la situación afectó a alrededor del 0,5 por ciento de sus usuarios. En 2019 la empresa dijo tenía más de 10 millones de usuarios activos diarios, lo que supondría unas 50.000 notificaciones. Por ahora, la empresa puede haber casi duplicado esa cantidad de usuarios. Es posible que algunos usuarios que tenían contraseñas expuestas a lo largo de los cinco años todavía no sean usuarios de Slack.

“Inmediatamente tomamos medidas para implementar una solución y lanzamos una actualización el mismo día que se descubrió el error, el 17 de julio de 2022”, dijo la compañía en un comunicado. «Slack ha informado a todos los clientes afectados y se han restablecido las contraseñas de los usuarios afectados».

La empresa no respondió a las preguntas de WIRED al momento de la publicación sobre qué algoritmo hash usó en las contraseñas o si el incidente provocó evaluaciones más amplias de la arquitectura de administración de contraseñas de Slack.

“Es desafortunado que en 2022 sigamos viendo errores que son claramente el resultado de un modelo de amenazas fallido”, dice Jake Williams, director de inteligencia de amenazas cibernéticas en la firma de seguridad Scythe. “Si bien las aplicaciones como Slack definitivamente realizan pruebas de seguridad, los errores como este que solo surgen en la funcionalidad de casos extremos aún se pasan por alto. Y, obviamente, hay mucho en juego cuando se trata de datos confidenciales como contraseñas”.

La situación subraya el desafío de diseñar aplicaciones web flexibles y utilizables que también limiten el acceso a datos de alto valor como contraseñas. Si recibió una notificación de Slack, cambie su contraseña y asegúrese de tener Autenticación de dos factores encendido También puede ver los registros de acceso de su cuenta.

Deja un comentario