O Slack lhe enviou um link de redefinição de senha na semana passada? A empresa admitiu ter exposto acidentalmente as senhas com hash de usuários do workspace.
O problema ocorreu quando um usuário criou ou revogou um link de convite compartilhado para seu workspace. A boa notícia é que a senha não era de texto simples e não era visível em nenhum cliente do Slack. A má notícia é que ele pode ser detectado monitorando o tráfego criptografado dos servidores do Slack, e parece que todos os usuários que criaram ou revogaram esses links entre 17 de abril de 2017 e 17 de julho de 2022 foram afetados.
O Slack disse que apenas 0,5% dos usuários foram afetados, o que não parece muito terrível até você considerar quantos usuários do Slack existem. Embora obter um número definitivo de usuários para qualquer plataforma de bate-papo seja complicado e varie dependendo da medida que o fornecedor está usando, é seguro assumir que o Slack tem 10 milhões ou mais de usuários ativos diários, o que significa que pelo menos 50.000 podem ter sido afetados. Pedimos à empresa para confirmar isso e atualizaremos se houver uma resposta.
O Slack reivindica mais de 169.000 clientes pagos e diz que “milhões de pessoas em todo o mundo usam o Slack para conectar suas equipes. ”
- Slack para aumentar os preços para os clientes Pro
- 60 milhões na Matrix, pois os usuários buscam descentralização mensagens
- Slack-for-engineers Importa principalmente em código aberto e soberania de dados
- Saída de e-mail, Slack e equipes em para comunicações empresariais
A empresa foi informada do problema por um pesquisador de segurança independente em 17 de julho e rapidamente corrigiu o problema antes de avaliar a escala de o impacto. “Não temos motivos para acreditar que alguém conseguiu obter senhas em texto simples por causa desse problema”, insistiu, mas mesmo assim redefiniu as senhas dos usuários afetados.
Também recomenda a mudança inevitável à autenticação de dois fatores e ao uso de senhas exclusivas para cada serviço em uso.
O problema é que, embora as senhas fossem hash e saltadas, o Slack observou que “é praticamente inviável para uma senha ser derivado do hash”, é possível extrair uma senha (a palavra-chave é “praticamente”). Malandros são bem versados em métodos de força bruta e tem sido possível coletar essas senhas por anos.
Portanto, também seria uma boa idéia verificar os logs de acesso para sua conta, apenas em caso, bem como realizar a redefinição conforme recomendado pelo Slack.
