Security Magazine : Les mots de passe hachés exposés dans la vulnérabilité de Slack

La plate-forme de communication de bureau Slack a admis avoir accidentellement exposé les mots de passe hachés de certains utilisateurs. 

Selon Wired, la vulnérabilité qui a exposé les versions chiffrées brouillées des mots de passe de certains utilisateurs remonte à cinq ans, entre le 17 avril 2017 et le 17 juillet 2022 et a touché toute personne ayant créé ou révoqué un lien d'invitation partagé. 

L'application d'espace de travail a commencé à envoyer des liens de réinitialisation de mot de passe aux utilisateurs concernés le 4 août, quelques jours après qu'un chercheur indépendant en sécurité a révélé la vulnérabilité à Slack le 17 juillet. Slack a déclaré que la faille affectait environ 0.5 % de ses utilisateurs, ce qui pourrait signifier environ 50,000 10 utilisateurs. , car la société a déclaré qu'elle comptait plus de 2019 millions d'utilisateurs actifs quotidiens en XNUMX.

Sharon Nachshony, chercheuse en sécurité chez Silverfort, explique, "Hashs of salted mots de passe être divulgué n'est pas aussi dangereux que de les exposer en texte brut, car un attaquant devrait utiliser des méthodes de force brute - automatisant essentiellement un script pour deviner les mots de passe - ce qui prend un certain temps.

Bien que cela rende l'exploitation moins probable, Nachshony déclare qu'"un acteur menaçant peut toujours être motivé à le faire car Slack est utilisé par de nombreuses entreprises. Des incidents comme ceux-ci sont une fois de plus un argument clair pour que les utilisateurs permettent MFA. S'il est implémenté correctement, cela alertera l'utilisateur légitime de toute tentative d'authentification en son nom, refusant toute tentative d'accès malveillante.

Pour lire l'article complet dans Security Magazine, cliquez ici .