Slack ha esposto le password con hash per anni • Cronologia

Agosto 8, 2022 0

Slack ti ha inviato un link per reimpostare la password la scorsa settimana? La società ha ammesso di aver inavvertitamente rivelato password hash agli utenti dell’area di lavoro.

Il il caso Si verifica quando un utente crea o revoca un collegamento di invito incrociato per il proprio spazio di lavoro. La buona notizia è che la password non era un testo normale, né era visibile in nessuno dei client Slack. La cattiva notizia è che può essere catturato monitorando il traffico crittografato dai server di Slack e sembra che tutti gli utenti che hanno creato o cancellato questi collegamenti tra il 17 aprile 2017 e il 17 luglio 2022 siano stati interessati.

Slack ha affermato che solo lo 0,5% degli utenti è stato colpito, il che non sembra troppo terribile finché non si considera quanti utenti Slack ci sono là fuori. Sebbene ottenere un numero di utente finale per qualsiasi piattaforma di chat sia complicato e vari a seconda della procedura utilizzata dal fornitore, è lecito ritenere che Slack abbia 10 milioni o più di utenti attivi giornalieri, il che significa che almeno 50.000 sono interessati. Abbiamo chiesto alla società di confermarlo e aggiorneremo se c’è una risposta.

Slack afferma che ci sono più di 169.000 clienti paganti e afferma “Milioni di persone in tutto il mondo usano Slack per collegare i loro team”.

La società è stata informata del problema da un ricercatore di sicurezza indipendente il 17 luglio e il problema è stato rapidamente risolto prima che l’entità dell’impatto potesse essere valutata. “Non abbiamo motivo di credere che qualcuno sia stato in grado di ottenere password in chiaro a causa di questo problema”, ha insistito, ma reimposta comunque le password degli utenti interessati.

READ Il secondo prodotto hardware di Snapchat costa $ 230 per drone

Raccomanda inoltre un passaggio inevitabile all’autenticazione a due fattori e all’uso di password univoche per ogni servizio in uso.

Il problema è che mentre le password sono state hash e salate, Slack ha notato che è “praticamente impraticabile derivare una password dall’hash”, il password mining è possibile (la parola chiave è “praticamente”). I malfattori conoscono bene i metodi della forza bruta e queste password avrebbero potuto essere raccolte per anni.

Quindi sarebbe anche una buona idea controllare i registri di accesso dell’account di un individuo, per ogni evenienza, oltre a eseguire il ripristino come consigliato da Slack. ®

Fino Neri

"Guru del cibo. Fanatico del bacon. Appassionato di tv devoto. Specialista di zombi. Appassionato di cultura pop freelance."