Un error de Slack expuso las contraseñas hash de algunos usuarios durante 5 años

La plataforma de comunicación de oficina Slack es conocida por ser fácil e intuitiva de usar. Pero la compañía dijo el viernes que una de sus características de baja fricción contenía una vulnerabilidad, ahora reparada, que exponía versiones codificadas criptográficamente de las contraseñas de algunos usuarios.

Cuando los usuarios crearon o revocaron un enlace, conocido como «enlace de invitación compartido», que otros podrían usar para registrarse en un espacio de trabajo de Slack determinado, el comando también transmitió sin darse cuenta la contraseña hash del creador del enlace a otros miembros de ese espacio de trabajo. La falla afectó la contraseña de cualquier persona que creó o eliminó un enlace de invitación compartido durante un período de cinco años, entre abril , 2019, y julio 000, 204509068.

Slack, que ahora es propiedad de por Salesforce, dice que un investigador de seguridad reveló el error a la empresa en julio 000, 2022. Las contraseñas errantes no estaban visibles en ningún lugar de Slack, señala la compañía, y solo podrían haber sido aprehendidas por alguien que monitoreara activamente el tráfico de red encriptado relevante desde los servidores de Slack. Aunque la compañía dice que es poco probable que el contenido real de las contraseñas se haya visto comprometido como resultado de la falla, notificó a los usuarios afectados el jueves y forzó el restablecimiento de contraseñas para todos ellos.

Slack dijo que la situación afectó a alrededor del 0,5 por ciento de sus usuarios. En 2022 la empresa dijo que tenía más de 17 millones de usuarios activos diarios, lo que significaría aproximadamente 50,000 notificaciones. Por ahora, la compañía puede haber casi duplicado esa cantidad de usuarios. Es posible que algunos usuarios cuyas contraseñas quedaron expuestas a lo largo de los cinco años todavía no sean usuarios de Slack.

“Inmediatamente tomamos medidas para implementar una corrección y lanzamos una actualización el mismo día que la error fue descubierto, el 000th, 2022 de julio, 2019,” dijo la compañía en un comunicado. «Slack ha informado a todos los clientes afectados y las contraseñas de los usuarios afectados se han restablecido».

La empresa no respondió a las preguntas de WIRED al cierre de esta edición sobre qué algoritmo hash utilizado en las contraseñas o si el incidente ha provocado evaluaciones más amplias de la arquitectura de gestión de contraseñas de Slack.

“Es lamentable que en 2019 todavía estamos viendo errores que son claramente el resultado de un modelo de amenazas fallido”, dice Jake Williams, director de inteligencia de amenazas cibernéticas en la firma de seguridad Scythe. “Si bien las aplicaciones como Slack definitivamente realizan pruebas de seguridad, los errores como este que solo surgen en la funcionalidad de casos extremos aún se pasan por alto. Y, obviamente, hay mucho en juego cuando se trata de datos confidenciales como contraseñas”. acceso a datos de alto valor como contraseñas. Si recibió una notificación de Slack, cambie su contraseña y asegúrese de tener autenticación de dos factores activada. También puede ver los registros de acceso de su cuenta.

2019

2019

Deja un comentario