Último

Un error de Slack expuso las contraseñas codificadas de algunos usuarios durante 5 años

comunicación de la oficina la plataforma Slack es conocida por ser fácil e intuitiva de usar, pero la empresa dijo el viernes que una de sus características de baja fricción contenía una vulnerabilidad, ahora parcheada, que exponía versiones codificadas criptográficamente de las contraseñas de algunos usuarios.

Cuando los usuarios crearon o retiraron un enlace conocido como «enlace de invitación compartido» que otros podían usar para registrarse en un espacio de trabajo determinado de Slack, el comando también transmitió sin darse cuenta la contraseña cifrada del creador del enlace a otros miembros de ese espacio de trabajo. la contraseña de cualquier persona que haya creado o eliminado un enlace de invitación compartido durante un período de cinco años entre el 17 de abril de 2017 y el 17 de julio de 2022.

Pérdida de peso que es ahora propiedad de Salesforce, dice que un investigador de seguridad descubrió el error en la empresa el 17 de julio de 2022. Las contraseñas defectuosas no estaban visibles en ningún lugar de Slack, señala la empresa, y solo podrían haber sido detectadas por alguien que monitoreaba activamente el tráfico de red encriptado relevante de Slack. Aunque la compañía dice que es poco probable que el contenido real de la contraseña se haya visto comprometido como resultado de la violación, notificó a los usuarios afectados el jueves y obligó a restablecer la contraseña para todos ellos.

Slack dijo que la situación afectó a alrededor del 0,5 por ciento de sus usuarios. En 2019, la empresa dijo tenía más de 10 millones de usuarios activos diarios, lo que supondría aproximadamente 50.000 notificaciones. es posible que casi se hayan duplicado Ese número de usuarios Algunos usuarios cuyas contraseñas estuvieron expuestas durante los cinco años pueden no ser usuarios de Slack hoy.

“Inmediatamente tomamos medidas para implementar una solución y lanzamos una actualización el mismo día que se descubrió el error, el 17 de julio de 2022”, dijo la compañía en un comunicado. «Slack ha informado a todos los clientes afectados y se han restablecido las contraseñas de los usuarios afectados».

La empresa no respondió a las preguntas de WIRED al cierre de esta edición sobre qué algoritmo hash usó para las contraseñas o si el incidente provocó evaluaciones más amplias de la arquitectura de gestión de contraseñas de Slack.

“Es desafortunado que en 2022 sigamos viendo errores que son claramente el resultado de un modelo de amenazas fallido”, dijo Jake Williams, director de inteligencia de amenazas cibernéticas en la firma de seguridad Scythe. «Si bien las aplicaciones como Slack definitivamente brindan pruebas de seguridad, aún se pasan por alto errores como este que solo aparecen en la funcionalidad del último caso. Y, obviamente, hay mucho en juego cuando se trata de datos confidenciales como contraseñas”.

La situación destaca el desafío de diseñar aplicaciones web flexibles y utilizables que también aíslen y limiten el acceso a datos de alto valor como contraseñas. Si recibió una notificación de Slack, cambie su contraseña y asegúrese de tener Autenticación de dos factores También puede ver los registros de acceso de su cuenta.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Botón volver arriba

You cannot copy content of this page