Security Magazine: Slack güvenlik açığında açığa çıkan karma parolalar

Office iletişim platformu Slack, bazı kullanıcıların hashlenmiş şifrelerini yanlışlıkla ifşa ettiğini itiraf etti. 

Wired'a göre, bazı kullanıcıların parolalarının kriptografik olarak karıştırılmış sürümlerini açığa çıkaran güvenlik açığı, beş yıl öncesine, 17 Nisan 2017 ile 17 Temmuz 2022 arasında uzanıyor ve paylaşılan bir davet bağlantısı oluşturan veya iptal eden herkesi etkiledi. 

Çalışma alanı uygulaması, bağımsız bir güvenlik araştırmacısının 4 Temmuz'da Slack'e yönelik güvenlik açığını ifşa etmesinden birkaç gün sonra, 17 Ağustos'ta etkilenen kullanıcılara parola sıfırlama bağlantıları göndermeye başladı. Slack, kusurun kullanıcılarının yaklaşık yüzde 0.5'ini etkilediğini, bunun da yaklaşık 50,000 kullanıcı anlamına gelebileceğini söyledi. , şirketin 10'da günlük 2019 milyondan fazla aktif kullanıcısı olduğunu söylediği gibi.

Sharon Nachshony, Güvenlik Araştırmacısı Silverfort, açıklıyor, “Tuzlu karmalar şifreleri sızdırılması, bunları düz metin olarak ifşa etmek kadar tehlikeli değil, çünkü bir saldırganın kaba kuvvet yöntemleri kullanması gerekecek - esasen şifreleri tahmin etmek için bir komut dosyasını otomatikleştirmek - bu da biraz zaman alıyor."

Bu, istismarı daha az olası kılsa da Nachshony, “Slack çok sayıda şirket tarafından kullanıldığı için bir tehdit aktörü bunu yapmaya hâlâ motive olabilir. Bunun gibi olaylar, kullanıcıların etkinleştirmesi için bir kez daha açık bir argümandır. MFA. Doğru bir şekilde uygulanırsa, bu, meşru kullanıcıyı kendi adına herhangi bir kimlik doğrulama girişimi konusunda uyarır ve kötü niyetli erişim girişimlerini reddeder."

Yazının tamamını Security Magazine'de okumak için, buraya Tıkla.