Security Magazine: Hash-Passwörter in Slack-Sicherheitslücke offengelegt

Die Office-Kommunikationsplattform Slack hat zugegeben, versehentlich die gehashten Passwörter einiger Benutzer offengelegt zu haben. 

Laut Wired reicht die Schwachstelle, die kryptografisch verschlüsselte Versionen der Passwörter einiger Benutzer offenlegte, fünf Jahre zurück, zwischen dem 17. April 2017 und dem 17. Juli 2022, und betraf jeden, der einen geteilten Einladungslink erstellt oder widerrufen hat. 

Die Workspace-Anwendung begann am 4. August mit dem Senden von Links zum Zurücksetzen von Passwörtern an betroffene Benutzer, einige Tage nachdem ein unabhängiger Sicherheitsforscher die Schwachstelle am 17. Juli gegenüber Slack offengelegt hatte. Slack sagte, dass der Fehler etwa 0.5 Prozent seiner Benutzer betraf, was etwa 50,000 Benutzer bedeuten könnte , wie das Unternehmen sagte, hatte es im Jahr 10 über 2019 Millionen aktive Benutzer pro Tag.

Sharon Nachshony, Sicherheitsforscherin bei SilverfortSie erklärt: „Hashes von gesalzen Passwörter Ein Durchsickern ist nicht so gefährlich wie das Offenlegen im Klartext, da ein Angreifer Brute-Force-Methoden anwenden müsste – im Wesentlichen ein Skript automatisieren, um Passwörter zu erraten – was einige Zeit in Anspruch nimmt.“

Während dies die Wahrscheinlichkeit einer Ausnutzung verringert, sagt Nachshony: „Ein Bedrohungsakteur könnte immer noch dazu motiviert sein, weil Slack von so vielen Unternehmen verwendet wird.“ Vorfälle wie diese sind wieder einmal ein klares Argument für die Aktivierung durch Benutzer MFA. Bei korrekter Implementierung würde dies den legitimen Benutzer auf jeden Authentifizierungsversuch in seinem Namen aufmerksam machen und jeden böswilligen Zugriffsversuch abwehren.“

Um den vollständigen Artikel im Security Magazine zu lesen, Klicke hier.