Ripristino di password di massa da Slack in seguito all'esposizione di vulnerabilità del collegamento di invito
Il 17 luglio 2022, Slack ha ripristinato le password di circa l'1% dei suoi utenti in modo proattivo, dopo la scoperta di una vulnerabilità di sicurezza che ha interessato almeno 60.000 utenti, secondo un ricercatore della sicurezza indipendente. Il numero esatto di clienti interessati non è stato specificato.
Il bug, che è stato trovato nella funzionalità di invito condiviso di Slack, consentiva di trasmettere le versioni hash delle password degli utenti ad altri membri del workspace. Slack ha scelto di ripristinare le password di tutti gli utenti interessati a causa del potenziale di inversione tramite forza bruta delle password hashate e salate.
Slack utilizza una tecnica chiamata salting per proteggere ulteriormente le password hashate, ma la vulnerabilità poteva essere sfruttata in determinate condizioni. L'azienda ha risolto il bug lo stesso giorno in cui è stato scoperto e ha interessato tutti gli utenti che hanno creato o revocato un link di invito condiviso tra il 17 aprile 2017 e il 17 luglio 2022.
Gli utenti interessati sono stati informati del ripristino delle loro password 18 giorni dopo la risoluzione del bug. Slack non ha reso pubblico il suo numero di utenti attivi giornalieri dal settembre 2019, ma l'aumento costante degli strumenti di lavoro a distanza, come Slack, amplia la minaccia delle vulnerabilità a un numero crescente di organizzazioni.
L'acquisizione di Slack da parte di Salesforce per $27,7 miliardi è stata completata nel luglio 2021. Gli stakeholder aziendali vogliono comprendere meglio il calcolo del rischio delle loro pile tecnologiche e questo incidente sottolinea l'importanza degli audit di sicurezza regolari e della risposta rapida alle vulnerabilità.
È importante notare che la funzionalità di invito condiviso è disponibile per tutti gli utenti Slack per impostazione predefinita, ma non per gli ospiti. I proprietari e gli amministratori possono modificare le impostazioni per richiedere l'approvazione dell'amministratore per la funzionalità di invito condiviso. Slack ha dichiarato di non avere motivi per credere che qualcuno sia stato in grado di ottenere le password in testo piano a causa di questo problema.
La scoperta della password hashata richiedeva il monitoraggio attivo del traffico di rete crittografato. Slack non ha rivelato dettagli sul ricercatore della sicurezza che ha scoperto la vulnerabilità.
Nonostante questo incidente, Slack rimane una scelta popolare per molte organizzazioni grazie alle sue funzionalità di comunicazione e collaborazione fluide. L'azienda continua a investire nella sua infrastruttura di sicurezza per garantire la sicurezza e la privacy dei dati degli utenti.
Leggi anche:
- L'orologio misterioso Cartier di fascia alta si aspetta di vendere per oltre 6 milioni di dollari all'asta autunnale
- Impatto dell'imaging avanzato sulla guarigione dei pazienti colpiti da ictus
- La più importante pubblicazione sportiva portoghese A BOLA fornirà copertura esclusiva per il Summit SBC, promette contenuti sportivi di alta qualità
- Il potenziale disordine del conflitto spaziale a causa della sindrome di Kessler
