Slack, kullanıcılarının kabaca% 0,5'ini, çalışma alanları için paylaşılan davet bağlantıları oluştururken veya iptal ederken tuzlu şifre karmalarını açığa çıkardıktan sonra şifrelerini sıfırladığını bildirdi.
SlackingComputer'a verdiği demeçte, "Bir kullanıcı bu eylemlerden herhangi birini gerçekleştirdiğinde, Slack parolalarının karma sürümünü (düz metin değil) diğer çalışma alanı üyelerine iletti." Dedi.
"Bu veriler yeni veya devre dışı bırakılan davet bağlantısı aracılığıyla paylaşılsa da, Slack istemci bu verileri bu çalışma alanının üyelerine saklamadı veya görüntülemedi."
Hata, 17 Temmuz'da Slack'e açıklayan bağımsız bir güvenlik araştırmacısı tarafından keşfedildi. Sorun, 17 Nisan 2017 ve 17 Temmuz 2022 arasında paylaşılan davet bağlantıları oluşturan veya iptal eden tüm kullanıcıları etkiledi.
Neyse ki, Hashed şifreleri Slack istemcileri tarafından görünmüyordu, Slack'e göre, bu maruz kalan bilgilere erişmek için Slack'in sunucularından şifreli ağ trafiğinin aktif olarak izlenmesi.
Slack ayrıca, hatanın sabitlenmeden önce düz metin şifrelerine erişmek için kullanıldığını düşünmek için hiçbir nedeni olmadığını da sözlerine ekledi.
Şirket Perşembe günü yaptığı açıklamada, "Bu sorun nedeniyle herkesin düz metin şifreleri alabildiğine inanmak için hiçbir nedenimiz yok."
"Ancak, dikkatli olmak için, etkilenen kullanıcıların gevşek şifrelerini sıfırladık. Tekrar giriş yapmadan önce yeni bir gevşek şifre ayarlamaları gerekecek."
Hashes'in kimlik doğrulama için kullanılamamasına ve bunları tersine çevirmeye çalışmanın (bazı karma algoritmaları için), etkilenen kullanıcılara gönderilen güvenlik bildirimlerine, kaba kuvvet yoluyla hala tersine çevrilebilecek güvenlik bildirimlerine eklendiğinden bahsetmek de önemlidir.
Slack, "Hashed şifreleri güvenli, ancak mükemmel değil - hala kaba kuvvet yoluyla tersine çevrilmeye maruz kalıyorlar - bu yüzden etkilenen herkesin şifrelerini sıfırlamayı seçtik."
BleepingComputer, şifre karmalarını oluşturmak için kullanılan karma algoritması hakkında daha fazla bilgi için Slack'e ulaştı, ancak bu makale yayınlanmadan önce bir cevap almadı.
Hesabınızın tehlikeye girmediğinden emin olmak için kişisel erişim günlüklerine buradan erişebilirsiniz. Slack ayrıca tüm kullanıcılara iki faktörlü kimlik doğrulamasını etkinleştirmelerini ve diğer çevrimiçi hizmetlerle kullanılmayan benzersiz şifreler oluşturmalarını önerir.
Slack, 150'den fazla ülkeden 169.000'den fazla ödeme yapan müşteriye sahip olduğunu ve 65 Fortune 100 şirketinin hizmetlerini kullandığını söylüyor.
Citrix, kritik hatanın saldırganların yönetici şifrelerini sıfırlamasına izin verebileceği konusunda uyarıyor
Bilgisayar korsanları Zimbra'daki şifre çalma kusurunu aktif olarak kullanıyor
LibreOffice Makrolar, Şifreler ile Güvenlik Sorunlarını ele alır
Atlassian: Confluence sert kodlanmış şifre sızdırıldı, şimdi yama!
3. taraf hizmetleri şifre güvenliğinde yetersiz kalıyor
Kaynak: Bleeping Computer