Một lỗi Slack đã làm lộ ra mật khẩu băm của một số người dùng cho 5

Văn phòng giao tiếp nền tảng Slack được biết đến là dễ sử dụng và trực quan. Nhưng công ty cho biết vào thứ Sáu rằng một trong những tính năng ma sát thấp của nó chứa một lỗ hổng, hiện đã được khắc phục, làm lộ các phiên bản mật mã của một số người dùng bị xáo trộn.

Khi người dùng tạo hoặc thu hồi một liên kết — được gọi là “liên kết mời được chia sẻ” — mà người khác có thể sử dụng để đăng ký một không gian làm việc Slack nhất định, lệnh cũng vô tình truyền mật khẩu băm của người tạo liên kết đến các thành viên khác của không gian làm việc đó. Lỗ hổng đã ảnh hưởng đến mật khẩu của bất kỳ ai tạo hoặc xóa liên kết mời được chia sẻ trong khoảng thời gian 5 năm, từ ngày 17 tháng 4 năm 2017 đến ngày 17 tháng 7 năm 2022.

Slack, hiện thuộc sở hữu của Salesforce, cho biết một nhà nghiên cứu bảo mật đã tiết lộ lỗi cho công ty vào ngày 17 tháng 7 năm 2022. Các mật khẩu sai không hiển thị ở bất kỳ đâu trong Slack, công ty lưu ý và chỉ có thể bị bắt bởi ai đó tích cực theo dõi lưu lượng mạng được mã hóa có liên quan từ các máy chủ của Slack. Mặc dù công ty cho biết không có khả năng nội dung thực tế của bất kỳ mật khẩu nào bị xâm phạm do lỗ hổng, nhưng nó đã thông báo ảnh hưởng đến người dùng vào thứ Năm và buộc phải đặt lại mật khẩu cho tất cả họ.

Slack cho biết tình hình đã ảnh hưởng đến khoảng 0,5% người dùng. Vào năm 2019, công ty cho biết họ có hơn 10 triệu người dùng hoạt động hàng ngày, có nghĩa là khoảng 50.000 thông báo. Hiện tại, công ty có thể đã tăng gần gấp đôi số lượng người dùng đó. Một số người dùng bị lộ mật khẩu trong suốt 5 năm có thể vẫn không phải là người dùng Slack ngày nay.

“Chúng tôi ngay lập tức thực hiện các bước để thực hiện một bản sửa lỗi và phát hành bản cập nhật cùng ngày lỗi được phát hiện, vào ngày 17 tháng 7 năm 2022,” công ty cho biết trong một tuyên bố. “Slack đã thông báo cho tất cả các khách hàng bị ảnh hưởng và mật khẩu cho những người dùng bị ảnh hưởng đã được đặt lại.”

Công ty đã không trả lời các câu hỏi từ WIRED vào thời điểm báo chí về việc nó đã sử dụng thuật toán băm nào trên mật khẩu hoặc liệu sự cố có thúc đẩy các đánh giá rộng hơn về kiến ​​trúc quản lý mật khẩu của Slack hay không.

Jake Williams, giám đốc tình báo về mối đe dọa mạng tại công ty bảo mật Scythe cho biết: “Thật không may là vào năm 2022, chúng ta vẫn thấy lỗi rõ ràng là kết quả của việc lập mô hình mối đe dọa thất bại. “Trong khi các ứng dụng như Slack chắc chắn thực hiện kiểm tra bảo mật, những lỗi như thế này chỉ xuất hiện trong chức năng trường hợp cạnh vẫn bị bỏ sót. Và rõ ràng, tiền cược rất cao khi liên quan đến dữ liệu nhạy cảm như mật khẩu ”.

Tình hình này nhấn mạnh thách thức trong việc thiết kế các ứng dụng web linh hoạt và có thể sử dụng được, đồng thời hạn chế quyền truy cập vào dữ liệu có giá trị cao như mật khẩu. Nếu bạn nhận được thông báo từ Slack, hãy thay đổi mật khẩu và đảm bảo rằng bạn đã bật xác thực hai yếu tố. Bạn cũng có thể xem nhật ký truy cập cho tài khoản của mình.