Slack ujawnia błędy w zaszyfrowanych hasłach niektórych użytkowników

Dostałeś powiadomienie o restarcie hasła w Slack? To może być efekt błędu, który odkryto w platformie. Uważaj jednak by jednocześnie nie dać się "złapać" hakerom i nie udostępnić im danych do swojego konta w serwisie.

Jak działa Slack?

Slack, platforma do komunikacji wewnątrz zespołu, która pomaga np. zarządzać projektami, rozdzielać zadania i jest wykorzystywana przez wiele organizacji jako wewnętrzny komunikator, poinformowała o błędzie w szyfrowaniu haseł niektórych użytkowników.

Slack jest świetnym narzędziem do tego, by prowadzić rozmowy głosowe, ułatwiać reagowanie na polecenia i prośby. Na wielu zespołów jest to dobra alternatywa do wysyłania maili wewnątrz firmy.

Małe firmy atakowane poprzez Instagram, a operatorzy nic z tym nie robiąAnna Malinowska

Resetowanie hasła Slack

Zespół Slack odkrył błędy w szyfrowaniu haseł swoich użytkowników. W związku z tym zresetowano dostępy około 0,5% wszystkich użytkowników po tym jak odkryto lukę związaną z błędem szyfrowania haseł podczas tworzenia lub odwoływania zaproszeń do współdzielonych obszarów roboczych.

-Kiedy użytkownik wykonał jedną z tych czynności, Slack przesłał zaszyfrowaną wersję swojego hasła do innych członków obszaru roboczego – czytamy w komunikacie przekazanym przez slack.

Chodzi o to, że podczas szyfrowania danych, system przekształca je w dane wyjściowe o stałym rozmiarze. Dzięki technologii „saltowania”, czyli mieszania poszczególnych elementów hasła, uzyskuje się dodatkowy stopień bezpieczeństwa, by zwiększyć odporność systemu na ewentualne ataki hakerskie.

Użytkownicy Slacka

Slack używany jest przez ponad 12 milionów użytkowników każdego dnia. Wciąż nie jest wiadomo w jaki sposób działa algorytm, który miesza, „saltuje” hasła w celu ich ochrony. Przewidywania ekspertów od cyberbezpieczeństwa wskazują, że błąd dotyczyć może wszystkich użytkowników, którzy stworzyli lub odwołali zaproszenia do współdzielonych obszarów między 17 kwietnia 2017 r. a 17 lipca 2022 r.. To właśnie w lipcu 2022 o problemie poinformowano opinię publiczną.

Co istotne, zaszyfrowane hasła nie były widoczne dla żadnego użytkownika platformy klienta Slack, co oznacza, że dostęp do informacji wymagał aktywnego monitorowania zaszyfrowanego ruchu sieciowego pochodzącego z serwerów Slacka.

- Nie mamy powodu, aby sądzić, że ktokolwiek był w stanie uzyskać hasła innych użytkowników – przekonują przedstawiciele Slack.  — Jednak ze względów ostrożności zresetowaliśmy hasła Slack użytkowników, których dotyczy problem.

Sytuacja jest też pretekstem do namawiania użytkowników by ci włączyli uwierzytelnienie dwuskładnikowe jako ochrona przez próbą przejęcia konta. Przedstawiciele Slacka przekonują też by tworzyć unikalne hasła do każdej używanej przez nas usługi online. Nie bez znaczenia jest też regularne zmienianie haseł. Najgorsze co możemy zrobić, to stosowanie tego samego hasła w kilku usługach online.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.