Security Magazine: Slack 취약점에 노출된 해시 비밀번호

Office 커뮤니케이션 플랫폼 Slack이 일부 사용자의 해시된 암호를 실수로 노출한 사실을 인정했습니다. 

Wired에 따르면 일부 사용자 암호의 암호화된 스크램블 버전을 노출한 취약점은 17년 2017월 17일부터 2022년 XNUMX월 XNUMX일까지 XNUMX년 전으로 거슬러 올라가 공유 초대 링크를 생성하거나 취소한 모든 사람에게 영향을 미쳤습니다. 

워크스페이스 애플리케이션은 독립 보안 ​​연구원이 4월 17일 Slack에 대한 취약점을 공개한 지 며칠 후인 0.5월 50,000일에 영향을 받는 사용자에게 암호 재설정 링크를 보내기 시작했습니다. Slack은 이 결함이 사용자의 약 10%에 영향을 미쳤으며 이는 약 2019명의 사용자를 의미할 수 있다고 말했습니다. , 회사는 XNUMX년에 일일 활성 사용자가 천만 명이 넘었다고 밝혔습니다.

Sharon Nachshony, 보안 연구원 Silverfort, "소금에 절인 해시 암호 유출되는 것은 공격자가 암호를 추측하기 위해 기본적으로 스크립트를 자동화하는 무차별 대입 방법을 사용해야 하기 때문에 일반 텍스트로 노출하는 것만큼 위험하지 않습니다.”

이렇게 하면 악용 가능성이 낮아지지만 Nachshony는 “많은 회사에서 Slack을 사용하기 때문에 위협 행위자가 여전히 이를 수행할 동기가 있을 수 있습니다. 이와 같은 사건은 다시 한 번 사용자가 MFA. 올바르게 구현되면 합법적인 사용자에게 인증 시도에 대해 경고하여 악의적인 액세스 시도를 거부합니다.”

Security Magazine의 전체 기사를 읽으려면 여기를 클릭하세요.