Revista Security: Senhas com hash expostas na vulnerabilidade do Slack

A plataforma de comunicação do Office Slack admitiu ter exposto acidentalmente as senhas com hash de alguns usuários. 

De acordo com a Wired, a vulnerabilidade que expôs versões criptograficamente embaralhadas das senhas de alguns usuários remonta a cinco anos, entre 17 de abril de 2017 e 17 de julho de 2022, e impactou qualquer pessoa que criou ou revogou um link de convite compartilhado. 

O aplicativo de espaço de trabalho começou a enviar links de redefinição de senha para usuários afetados em 4 de agosto, poucos dias depois que pesquisadores de segurança independentes divulgaram a vulnerabilidade ao Slack em 17 de julho. Slack disse que a falha afetou cerca de 0.5% de seus usuários, o que pode significar aproximadamente 50,000 usuários. , já que a empresa disse que tinha mais de 10 milhões de usuários ativos diariamente em 2019.

Sharon Nachshony, pesquisadora de segurança da Silverfort, explica: “Hashes de salgado senhas vazar não é tão perigoso quanto expô-los em texto simples, já que um invasor teria que usar métodos de força bruta – essencialmente automatizando um script para adivinhar senhas – o que leva algum tempo.”

Embora isso torne a exploração menos provável, Nachshony diz que “um ator de ameaça ainda pode estar motivado a fazer isso porque o Slack é usado por muitas empresas. Incidentes como esses são mais uma vez um argumento claro para os usuários permitirem MFA. Se implementado corretamente, isso alertaria o usuário legítimo sobre qualquer tentativa de autenticação em seu nome, negando qualquer tentativa de acesso malicioso.”

Para ler o artigo completo na Security Magazine, clique aqui.