Passwort-Leck bei Slack

Passwort-Leck bei Slack

Passwort-Leck bei Slack

(Quelle: Slack)
10. August 2022 - Seit 2017 litt Slack unter einem Fehler, der gehashte Passwörter beim Versenden oder Widerrufen von Einladungen an andere User übermittelte. Das Risiko, dass damit Passwörter im Klartext publik werden, war allerdings äusserst gering.
Slack, Anbieter des gleichnamigen Messaging-Dienstes für den beruflichen Einsatz und heute Teil von Salesforce, hat viele Nutzer aufgefordert, ihre Passwörter neu zu setzen – als reine Vorsichtsmassnahme, wie das Unternehmen betont. Die Warnung ging an 0,5 Prozent der Abonnenten, und zwar wegen eines Bugs, über den ein unabhängiger Sicherheitsforscher Slack Mitte Juli informiert hatte. Das Problem hat jedoch eine längere Geschichte und betrifft alle Slack-User, die zwischen 17. April 2017 und 17. Juli 2022 mit Einladungs-Links interagierten. Nachdem der Sicherheitsforscher Slack informiert hatte, wurde der Fehler sofort behoben.

Der Bug wirkte sich jeweils aus, wenn ein Slack-User einen Einladungs-Link für seinen Workspace anderen Usern übermittelte oder die Einladung widerrief. Slack schickte in diesen Fällen das gehashte Passwort des einladenden Users an andere Mitglieder des Workspace. Damit solche Passwörter im Klartext sichtbar geworden wären, hätte aber der Netzwerkverkehr, der von den Slack-Servern einging, überwacht und entschlüsselt werden müssen. Slack beurteilt deshalb das Risiko als praktisch nicht existierend. (ubi)

Neuen Kommentar erfassen

Anti-Spam-Frage Aus welcher Stadt stammten die Bremer Stadtmusikanten?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER