Revista de seguridad: contraseñas hash expuestas en la vulnerabilidad de Slack

La plataforma de comunicación de Office Slack admitió haber expuesto accidentalmente las contraseñas hash de algunos usuarios. 

Según Wired, la vulnerabilidad que expuso versiones cifradas criptográficamente de las contraseñas de algunos usuarios se remonta a cinco años, entre el 17 de abril de 2017 y el 17 de julio de 2022, y afectó a cualquiera que creara o revocara un enlace de invitación compartido. 

La aplicación del espacio de trabajo comenzó a enviar enlaces de restablecimiento de contraseña a los usuarios afectados el 4 de agosto, unos días después de que investigadores de seguridad independientes revelaran la vulnerabilidad en Slack el 17 de julio. Slack dijo que la falla afectó a alrededor del 0.5 por ciento de sus usuarios, lo que podría significar aproximadamente 50,000 usuarios. , ya que la compañía dijo que tenía más de 10 millones de usuarios activos diarios en 2019.

Sharon Nachshony, investigadora de seguridad de Silverfort, explica, “picadillos de sal contraseñas ser filtrado no es tan peligroso como exponerlos en texto plano, ya que un atacante tendría que usar métodos de fuerza bruta (básicamente, automatizar un script para adivinar contraseñas), lo que lleva algún tiempo”.

Si bien esto hace que la explotación sea menos probable, Nachshony dice que “un actor de amenazas aún puede estar motivado para hacer esto porque muchas empresas utilizan Slack. Incidentes como estos vuelven a ser un argumento claro para que los usuarios habiliten MFA. Si se implementa correctamente, esto alertaría al usuario legítimo sobre cualquier intento de autenticación en su nombre, negando cualquier intento de acceso malicioso”.

Para leer el artículo completo en la Revista de Seguridad, haga clic aquí.