2022/08/07

Slack faz reset das passwords após expor hash nos convites

O Slack tinha uma vulnerabilidade que expunha as hashes das passwords de utilizadores que tivessem criado links de convite para os canais de conversação.

A falha foi descoberta por um investigador de segurança há algumas semanas, afectando os utilizadores que criaram ou desactivaram links de convites entre 17 de Abril de 2017 e 17 de Julho de 2022. Durante este período, essas operações fazia o envio da hash da passwords do utilizador para todos os restantes participantes do canal - e apesar de baixa probabilidades das hashes (com salt) serem apanhadas e descodificadas, o Slack optou por fazer o reset das passwords dos utilizadores afectados.

A vulnerabilidade só não se torna mais grave pois não era facilmente visível, exigindo que um potencial atacante estivesse a utilizar ferramentas de monitorização das comunicações encriptadas com os servidores do serviço para apanhar esta informação. Por outro lado, era algo que poderia ser provocado com relativa facilidade, fazendo um pedido aparentemente inocente de envio de um link para se juntar a um canal Slack, por exemplo.

O Slack aproveita a oportunidade para relembrar a necessidade de se utilizar passwords seguras que não sejam partilhadas com outros serviços - algo facilitado pela utilização de um gestor de passwords - e, preferencialmente, recorrer também à autenticação 2-factor de modo a que não se fique unicamente dependente da password.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]