Slack, password esposte (con hash) per un bug vecchio cinque anni

da Hardware Upgrade :

Il servizio di messaggistica e collaborazione Slack ha comunicato
allo 0,5% dei suoi utenti di aver forzato un reset delle loro
password
a seguito della correzione di un bug che esponeva gli hash
delle password durante la creazione o la revoca di collegamenti di invito
condivisi per le aree di lavoro.

Spiega Slack: “Quando un utente eseguiva una di queste azioni, Slack
trasmetteva una versione hash della sua password ad altri membri dell’area
di lavoro. Sebbene questi dati siano stati condivisi tramite un
collegamento di invito, il client Slack non ha archiviato o visualizzato
tali dati ai membri di quell’area di lavoro”.

E’ stato un ricercatore di sicurezza indipendente a scoprire il bug di
sicurezza, rivelato a Slack lo scorso 17 luglio. Si tratta di un
problema che presente da lungo tempo e interessa tutti gli utenti che
hanno creato o revocato collegamenti di invito condivisi tra il 17
aprile 2017 e il 17 luglio 2022
.


La societ sostiene che non vi sia motivo di considerare il bug come
strumento per l’accesso alle password in chiaro: “Non abbiamo motivo di
credere che qualcuno sia stato in grado di ottenere password in chiaro a
causa di questo problema. Tuttavia, per motivi di cautela, abbiamo
reimpostato le password Slack degli utenti interessati. Dovranno impostare
una nuova password Slack prima di poter accedere nuovamente”.

E’  comunque opportuno segnalare che sebbene gli hash non possano
essere utilizzati per forzare un’autententicazione e non sia possibile da
essi risalire alle password in chiaro, potrebbero ugualmente essere
utilizzati per azioni brute-force. Slack suggerisce di controllare il
registro accessi del proprio account per verificare eventuali accessi
non autorizzati
.

Source link