Security Magazine: รหัสผ่านที่แฮชถูกเปิดเผยในช่องโหว่ Slack
Slack แพลตฟอร์มการสื่อสารในสำนักงานยอมรับว่าเปิดเผยรหัสผ่านที่แฮชของผู้ใช้บางคนโดยไม่ตั้งใจ
จากข้อมูลของ Wired ช่องโหว่ที่เปิดเผยรหัสผ่านของผู้ใช้บางคนในเวอร์ชันที่มีสัญญาณรบกวนเข้ารหัสนั้นมีอายุย้อนหลังไป 17 ปี ระหว่างวันที่ 2017 เมษายน 17 ถึง 2022 กรกฎาคม XNUMX และส่งผลกระทบต่อใครก็ตามที่สร้างหรือเพิกถอนลิงก์คำเชิญที่แชร์
แอปพลิเคชันเวิร์กสเปซเริ่มส่งลิงก์รีเซ็ตรหัสผ่านไปยังผู้ใช้ที่ได้รับผลกระทบในวันที่ 4 สิงหาคม ไม่กี่วันหลังจากนักวิจัยด้านความปลอดภัยอิสระเปิดเผยช่องโหว่ให้กับ Slack เมื่อวันที่ 17 กรกฎาคม Slack กล่าวว่าข้อบกพร่องดังกล่าวส่งผลกระทบต่อผู้ใช้ประมาณ 0.5 เปอร์เซ็นต์ ซึ่งอาจหมายถึงผู้ใช้ประมาณ 50,000 คน ตามที่บริษัทกล่าวว่ามีผู้ใช้งานมากกว่า 10 ล้านรายต่อวันในปี 2019
Sharon Nachshony นักวิจัยด้านความปลอดภัยที่ Silverfortอธิบายว่า "แฮชของเกลือ รหัสผ่าน การรั่วไหลนั้นไม่อันตรายเท่ากับการเปิดเผยในรูปแบบข้อความธรรมดา เนื่องจากผู้โจมตีจะต้องใช้วิธีบังคับเดรัจฉาน ซึ่งโดยหลักแล้วจะทำให้สคริปต์ทำงานอัตโนมัติเพื่อเดารหัสผ่าน ซึ่งต้องใช้เวลาพอสมควร”
แม้ว่าสิ่งนี้จะทำให้การแสวงหาประโยชน์มีโอกาสน้อยลง แต่ Nachshony กล่าวว่า "ผู้คุกคามอาจยังมีแรงจูงใจให้ทำเช่นนี้เพราะหลายบริษัทใช้ Slack เหตุการณ์เช่นนี้ถือเป็นข้อโต้แย้งที่ชัดเจนอีกครั้งสำหรับผู้ใช้ในการเปิดใช้งาน ไอ้เวรตะไล. หากใช้งานอย่างถูกต้อง สิ่งนี้จะแจ้งเตือนผู้ใช้ที่ถูกต้องตามกฎหมายถึงความพยายามในการตรวจสอบสิทธิ์ใดๆ ในนามของพวกเขา โดยปฏิเสธความพยายามเข้าถึงที่เป็นอันตรายใดๆ”
หากต้องการอ่านบทความฉบับเต็มใน Security Magazine คลิกที่นี่.
